卡巴斯基(AVP)内存驻留型病毒检测方法

　三、实例：

　　简单举例，比如这个病毒(网上找的一个感染COM文件的代码片段)：

　　cmp ah,3dh

　　jz short @@Infect_File ;截获3d号Dos功能

　　@@JmpOldInt21:

　　cli

　　JmpFar db 0eah

　　@@Infect_File：

　　....

　　编译后应该是这个样子：

　　13B6:0100 80FC 3D CMP AH,3Dh

　　13B6:0104 74 xx JE Infect_File

　　13B6:0107 FA CLI

　　13B6:0108 xx xx XXX

　　对于这个病毒的检测和清除，我们生成一记录，这个病毒记录在AVP库record中，可以是这种形式，它完全可以检测和解除该病毒的活性：

　　搜索方法：中断跟踪

　　地址偏移：1000:0000

　　匹配字节：80FC

　　特征长度：6

　　特征：xxxxxxxx

　　专用处理过程：NULL

　　处理偏移地址：3

　　处理字节长度：2

　　修复字节：90 90

　　通过这样一个检测、修复库记录，AVP就可以检测和修复内存中驻留的活性病毒，然后在通过单独的文件病毒检测/修复等处理过程来全面清除磁盘文件中的病毒。

　　本文是(Avp Reverse Engineering)AVP逆向学习系列一节，所分析的方法在不同版本中略有不同，而基于AVP的良好架构，这些改变主要体现的处理方法的增删，和结构长度变化。

最新相关文章

• ·认识映象劫持技术原理与解决办法
• ·大水牛下载者分析及手工清除办法
• ·计算机病毒中毒症状、预防和系统恢复
• ·mdm.exe专杀以及处理方法
• ·手工清除病毒mdm.exe和RavMon.exe
• ·mdm.exe病毒的解决方法
• ·不再草木皆兵 三招对付捆绑木马！
• ·如何清除Taskmgr.exe病毒
• ·taskmgr.exe进程CPU占用率高的原因
• ·taskmgr.exe系统进程及相关病毒介绍
• ·QQ“缘”病毒taskmgr.exe狂占CPU内存
• ·警惕伪SoundMan.exe病毒 SoundMan.exe病毒清除办
• ·巧治Vista下U盘自动运行病毒方法
• ·计算机病毒的说明、预防和恢复
• ·病毒反抗杀毒软件主要手段
• ·经典九招 防止自动播放引来病毒