基于可疑行为识别的PE病毒检测方法

针对当前PE病毒难以防范及查杀的现象,对PE病毒关键技术进行分析,提取病毒典型特征的可疑行为,在此基础上提出一种Windows平台下的静态检测方法。该方法在对程序反编译处理的基础上,以指令序列与控制流图的分析为行为识别依据,完成基于可疑行为识别的病毒检测方法的设计。实验结果证明,该检测方法能有效检测混淆变换病毒。     

面向PE病毒检测的行为特征分析方法研究

目前,计算机病毒的存在成为了信息安全的一大威胁,其中以Windows32 PE文件为感染目标的PE病毒最为盛行,功能最强,分析难度也最大。对此,本文研究了一种面向PE病毒检测的行为特征分析方法,详细分析PE病毒执行过程中的关键行为特征、一般行为特征等,并以其十六进制行为字符串特征码作为PE病毒的检测依据,通过对可疑PE文件中字符串的匹配实现PE病毒的启发式检测。     

1091病毒的检测与删除

最近,我们单位出现一种新病毒,用CPAV和SCAN都不能发现它,我对它进行了分析,成功的杀灭了该病毒.因该病毒长度为443H字节,故称其为1091病毒.病毒修改COM文件头的11字节为远跳转指令,使病毒代码首先得到执行,并把原文件头的11字节存入病毒偏移11FH处,对EXE文件,则修改文件头的SS,SP,CS,IP使其指向病毒体,并把原文件头的11字节存入病毒偏移11FH处.病毒代码一运行,首先检测内存有没有驻留该病毒,如没有则把DOS可用内存减少2K字节,并把自身驻留于内存高端,同时修改24H,21H号中断,使其指向病毒内部代码.因此每当运行DIR命令时,病毒开始传播.     

如何对付幽灵病毒

幽灵病毒即Ghost病毒,又称One-half病毒,是新一代的高级变形病毒.幽灵病毒体长3544个字节,经随机数加密后附加在EXE或COM文件的后面. 对于加密的病毒,必须有一段明码的解密程序.通常这段程序本身无法再加密,所以,可以作为病毒特征字符串被反病毒软件所利用,将其检测出来.幽灵病毒却对这段解码程序进行了巧妙的处理,使得所有依赖扫描特征字符串的反病毒软件无能为力.一、幽灵病毒的分析首先,幽灵病毒是如何处理其解码程序的呢?幽灵病毒的解码程序分为十段,每段仅含一条实质指令.在感染一目标文件时,每段的偏移量是随机的,段与段之间通过JMP语句连接执行,且在实质指令前后随机填充NOP等许多“虚假”指令.而且,在这十条指令中,所使用的寄存器亦是随     

CIH病毒的分析与清除

CIH是第一例感染Windows95/98环境下PE格式EXE文件的病毒,病毒发作时直接攻击和破坏计算机硬件系统。剖析CIH病毒机理,掌握在Windows平台下病毒驻留和传染方法,对于预防、检测和清除CIH病毒,乃至预防未来新型Windows病毒都具有十分重要的意义。目前CIH病毒有多个版本,本文将着重对CIHv1.2版本进行剖析。     

新的操作系统型病毒通用检测算法与清除方法

分析了操作系统型病毒驻留和传染的原理,提出了检查操作系统型病毒的新的独特方法——特殊串、首指令与分区表检测算法.     

Hymn病毒的检测和清除

笔者最近在一台486微机上发现名为Hymn的病毒.此病毒是一种典型的文件型病毒,它传染特定的COM、EXE文件,染毒文件长度增加930字节.用现有的KV系列、KILL系列及SCAN等清毒软件均无法查出,用DUCKV(1.34版)能查出该病毒名,却无法清除.为此,对该病毒进行分析,找到了检测和清除的方法.一、病毒引导代码用debug把染毒文件调入内存,有如下引导代码:     

一种新发现病毒的分析,检测与清除

本文对一种新发现的文件型病毒－１０９１病毒的特征和机制进行了较详细的分析，并据此给出了病毒的检测与清除方法。     

检测并清除文件型病毒的一种通用型新方法

在名目繁多的计算机病毒群中,文件型病毒数目可观,至少占整个病毒总量的百分之七十以上,因此,及时检测、消灭文件型病毒至关重要.本文根据文件型病毒的特点,提出一种检测并清除该类病毒的一种通用型新方法—”模糊分析法”,并给出具体实例,完全脱离汇编语言知识,使得一般微机用户也能快速掌握,从而针对新出现的病毒,设计出自己的杀毒工具来.     

基于API序列分析和支持向量机的未知病毒检测

提出了一种在Windows平台下检测未知病毒的新方法,以PE文件调用的WinAPI序列为特征,运用支持向量机分类来检测未知病毒。实验结果表明,所实现BK 50系统对未知病毒具有较好的识别效果。