计算机感染型病毒专题(二)---感染型病毒的处理
上一专题我们简单介绍了一下感染型病毒的分类,大致把感染型分为7个小类,本专题我们简单讲解一下感染型病毒的处理。一、常见的感染方法:
(1) 1)将病毒代码写入到原程序,修改oep使其指代病毒代码;
(2) 2)将原程序包含进自己,例如将正常程序放到自己的后面(熊猫烧香)或放到自身的资源里面(diskgen),病毒代码执行完后放出正常程序执行。上一个专题我们提到的1、3、4、5、6、7这六个分类都是采用把病毒代码写入到原程序的方法进行感染的类型,第2类则采用将原程序包含进自己的方法来进行感染的类型。
二、特征串的定位:
(1) 1)如果是将原程序包含进自己的情况,定位时就是和普通病毒一样取病毒的指令;
(2) 2)将病毒代码写入到原程序的感染型在定位的时候都可以使用内存程序入口偏移的方法定位。
三、修复方法:
修复包括修复oep和删除病毒代码
快速找到oep,一般情况下被感染后的样本在满足特定条件的情况下会运行特定的病毒代码然后跳回原程序入口继续执行。在条件不满足的情况下会直接跳回原入口点执行,我们可以让他的条件不满足使其跳回原入口。
页:
[1]