【2011年12月20日】动态编译 加快速度 ZMPI自学习反病毒 高级启发式 钓鱼启发式

zhq445078388

FOXFFF 发表于 2011-10-27 22:48
这样太狠了，不能对应病毒代码填充？或是剔除病毒代码....

清除有好几种的
一种是将指定位置的指定长度代码删除 或者用指定代码替换
一种是直接删除长特征 或者指定代码替换
一种是指定特征 指定长度的智能清除

zhq445078388

FOXFFF 发表于 2011-10-27 22:48
这样太狠了，不能对应病毒代码填充？或是剔除病毒代码....

问题在于 他的库模式很凌乱  万一特征里面带个mz头啥的。。
清的时候就把pe头清掉额了。。

FOXFFF

zhq445078388 发表于 2011-10-27 23:03
问题在于 他的库模式很凌乱  万一特征里面带个mz头啥的。。
清的时候就把pe头清掉额了。。

乃为神马几次都是2连3连....额...难道不能做到把病毒代码填充或剔除一半或三分之一达到破坏病毒代码的作用，让病毒无法运行么

FOXFFF

BHHZDQL 发表于 2011-10-27 22:49
没事谁去开强力查杀？

那乃的这个强力查杀不是有点鸡肋的作用了么...与其全局禁运不如完全拦截相关高位的危险操作.....

JillPal

FOXFFF 发表于 2011-10-28 09:33
乃为神马几次都是2连3连....额...难道不能做到把病毒代码填充或剔除一半或三分之一达到破坏病毒代码 ...

恐怕没这么容易呀,处理不好恐怕被感染的文件也没法运行了,还不如直接删除来得方便.

FOXFFF

JillPal 发表于 2011-10-28 09:39
恐怕没这么容易呀,处理不好恐怕被感染的文件也没法运行了,还不如直接删除来得方便.

看来俺想的还是太简单了....不过有个疑问，如果只是填充或剔除的是病毒代码，按道理来说应该不会影响正常的文件的呀？

JillPal

FOXFFF 发表于 2011-10-28 09:42
看来俺想的还是太简单了....不过有个疑问，如果只是填充或剔除的是病毒代码，按道理来说应该不会影 ...

这个不太容易说清楚,我记得看一位赛门铁克的首席工程师写的书里说,可执行文件都有一套标准的格式内容（在视窗系统上应该是微软制的标准）,来保证计算机正确执行.如果是水平低一些的病毒只会把自己的病毒体简单地与正常可执行文件“合并”在一起,清除它只要把病毒体删除再按“标准”修复下文件头就行了.但如果是厉害一些的病毒会分别插入正常文件并可能删除一些正常内容,既使能完全清除病毒得到的也是一个被破坏的文件.水平再高一些的病毒甚至会精心构造一段代码分成几个片段写入正常可执行文件同时对被感染的可执行文件的执行流程进行修改以使其转换成对病毒体的执行.像这类病毒被修复的可能性几乎为零.还不如直接用干净的文件替换的好.

FOXFFF

JillPal 发表于 2011-10-28 10:06
这个不太容易说清楚,我记得看一位赛门铁克的首席工程师写的书里说,可执行文件都有一套标准的格式内容（在 ...

那么看来清毒只能针对相对较容易的病毒了.....晕，如果清毒能够做到剔除病毒代码，加入正常文件的代码就好了，不过那几乎不可能

JillPal

FOXFFF 发表于 2011-10-28 10:09
那么看来清毒只能针对相对较容易的病毒了.....晕，如果清毒能够做到剔除病毒代码，加入正常文件的代码就好 ...

这本书出了五、六年了所以我也不敢断言现在情况究竟有什么变化,不过恐怕是更难对付了.

zhq445078388

FOXFFF 发表于 2011-10-28 10:09
那么看来清毒只能针对相对较容易的病毒了.....晕，如果清毒能够做到剔除病毒代码，加入正常文件的代码就好 ...

所以我提供了替换功能
不然就乱了

比如 一个长度为三的文件
原本的正常代码在2位置
病毒将原本2位置的加到4位置 也就是赋到文件尾
然后将自身插入2位置 然后在执行玩自身 挑传到4位置

如果简单的删掉被加的代码 整个文件就坏了
但是如果把被加的代码替换成跳转到4的指令 这个文件就还能运行

所以我在引擎里面加入了替换型的清除