共查询到10条相似文献,搜索用时 31 毫秒
1.
2.
3.
最近,我们单位出现一种新病毒,用CPAV和SCAN都不能发现它,我对它进行了分析,成功的杀灭了该病毒.因该病毒长度为443H字节,故称其为1091病毒.病毒修改COM文件头的11字节为远跳转指令,使病毒代码首先得到执行,并把原文件头的11字节存入病毒偏移11FH处,对EXE文件,则修改文件头的SS,SP,CS,IP使其指向病毒体,并把原文件头的11字节存入病毒偏移11FH处.病毒代码一运行,首先检测内存有没有驻留该病毒,如没有则把DOS可用内存减少2K字节,并把自身驻留于内存高端,同时修改24H,21H号中断,使其指向病毒内部代码.因此每当运行DIR命令时,病毒开始传播. 相似文献
4.
幽灵病毒即Ghost病毒,又称One-half病毒,是新一代的高级变形病毒.幽灵病毒体长3544个字节,经随机数加密后附加在EXE或COM文件的后面. 对于加密的病毒,必须有一段明码的解密程序.通常这段程序本身无法再加密,所以,可以作为病毒特征字符串被反病毒软件所利用,将其检测出来.幽灵病毒却对这段解码程序进行了巧妙的处理,使得所有依赖扫描特征字符串的反病毒软件无能为力.一、幽灵病毒的分析首先,幽灵病毒是如何处理其解码程序的呢?幽灵病毒的解码程序分为十段,每段仅含一条实质指令.在感染一目标文件时,每段的偏移量是随机的,段与段之间通过JMP语句连接执行,且在实质指令前后随机填充NOP等许多“虚假”指令.而且,在这十条指令中,所使用的寄存器亦是随 相似文献
5.
CIH病毒的分析与清除 总被引:1,自引:0,他引:1
CIH是第一例感染Windows95/98环境下PE格式EXE文件的病毒,病毒发作时直接攻击和破坏计算机硬件系统。剖析CIH病毒机理,掌握在Windows平台下病毒驻留和传染方法,对于预防、检测和清除CIH病毒,乃至预防未来新型Windows病毒都具有十分重要的意义。目前CIH病毒有多个版本,本文将着重对CIHv1.2版本进行剖析。 相似文献
6.
分析了操作系统型病毒驻留和传染的原理,提出了检查操作系统型病毒的新的独特方法——特殊串、首指令与分区表检测算法. 相似文献
7.
笔者最近在一台486微机上发现名为Hymn的病毒.此病毒是一种典型的文件型病毒,它传染特定的COM、EXE文件,染毒文件长度增加930字节.用现有的KV系列、KILL系列及SCAN等清毒软件均无法查出,用DUCKV(1.34版)能查出该病毒名,却无法清除.为此,对该病毒进行分析,找到了检测和清除的方法.一、病毒引导代码用debug把染毒文件调入内存,有如下引导代码: 相似文献
8.
本文对一种新发现的文件型病毒-1091病毒的特征和机制进行了较详细的分析,并据此给出了病毒的检测与清除方法。 相似文献
9.
在名目繁多的计算机病毒群中,文件型病毒数目可观,至少占整个病毒总量的百分之七十以上,因此,及时检测、消灭文件型病毒至关重要.本文根据文件型病毒的特点,提出一种检测并清除该类病毒的一种通用型新方法—”模糊分析法”,并给出具体实例,完全脱离汇编语言知识,使得一般微机用户也能快速掌握,从而针对新出现的病毒,设计出自己的杀毒工具来. 相似文献