共查询到20条相似文献,搜索用时 15 毫秒
1.
笔者最近在一台486微机上发现名为Hymn的病毒.此病毒是一种典型的文件型病毒,它传染特定的COM、EXE文件,染毒文件长度增加930字节.用现有的KV系列、KILL系列及SCAN等清毒软件均无法查出,用DUCKV(1.34版)能查出该病毒名,却无法清除.为此,对该病毒进行分析,找到了检测和清除的方法.一、病毒引导代码用debug把染毒文件调入内存,有如下引导代码: 相似文献
2.
3.
最近,笔者发现了一种新病毒,广泛流行于PC机上,用目前的Kill、Scan及最新的Cpav 2.1均不能测出.该病毒长度为919个字节,由于尾部有“USTC’四个字符,所以笔者紧其取名为“USTC”病毒.USTC病毒是一种文件型病毒,它只感染.EXE文件,由于病毒在感染.EXE文件的,仅仅修改了.EXE文件的文件头中保存的该.EXE文件载入内存执行定位时SP的值,没有修改IP的值,所以受感染的文件一般增长919至934个字节.该病毒修改了DOS功能调用INT 21H,其病毒INT 21H的入口在XXXX:0156处.在带有USTC病毒的内存中断向量表0000:0084处,可看到此病毒入口地址.当带有USTC病毒的文件运行时,程序首先执行病毒体部分,病毒直接读出中断向量表0000:0188处(INT62H的中断向量地址)的值,通过判断该值是否为55AAH来确定采统是否已感染病毒.如果不是55AAH,病毒便认为系统没有受到感染,于是就启动感染模块. 相似文献
4.
1099病毒是一种文件型病毒,攻击扩展名为EXE和COM的可执行DOS文件。该病毒代码长度为1099字节,故称其为“1099病毒”。1 1099病毒感染文件的特点及危害性 该病毒不感染长度低于2KB的文件。病毒代码附着在被感染文件尾部,文件长度增量为1099B 1~16B。原因是该病毒总是将自身复制到原文件末尾之后的第一个节地址(即能被16整除的磁盘地址)处,而在病毒体首字节与原文件末尾之间任意填充内容,导致文件长度增 相似文献
5.
“848”是流行于PC机上的一种计算机病毒,它专门感染包括COMMAND.COM在内的COM型文件,被感染的文件长度增加848个字节,故称为“848”病毒.当带有848病毒的文件运行时,程序首先跳转到病毒体部分,执行DOS功能调用INT21的BB功能,这是病毒程序自加的功能、通过判断AX里的返回值是否等于1111h.来确定系统是否感染病毒.如果AX里的内容不是这个值,则病毒便认为系统中没有受到感染,于是就启动感染过程. 相似文献
6.
一、概 述 最近作者所在单位机房运行MS DOS操作系统的PC系统上感染并流行一种新的操作系统型病毒,该病毒在硬盘上占据硬盘的0面0柱1扇区,即硬盘分区表所存放的扇区,在软盘上则占据软盘的0面0道1扇区。根据笔者对该未知的操作系统型病毒的分析,发现它是CMOS病毒的变种。由于在病毒程序中有字符串“I am Li Xibin!”,故可知它是国内某人修改CMOS病毒后形成的新病毒。笔者使用的微机不慎感染上病毒,并很快传染所有未加写保护的软盘。因没有可清除该病毒的软件,笔者对病毒程序进行了剖析,现给出检测与清除该病毒的办法并公之于众。由于该病毒在发作 相似文献
7.
1831病毒的分析、检测与清除张世庆江苏工学院机械工程系(212013)1引言最近,在不少计算机上发现了一种怪现象:一些可执行文件的长度增加;当加载一个可执行文件时,加载速度明显变慢;用反病毒软件如CPAV,utscan等查毒,查不出病毒存在。为了验... 相似文献
8.
笔者在本校机房中遇到一种病毒,用美国防毒协会发放的SCAN116版检查报告是[MacG]病毒,但相应的CLEAN116却不能清除,因此笔者对病毒作分析.一、特征①病毒属文件型病毒,只感染.EXE型文件,并将文件时间改为20××年.文件染毒后比原来增长2824字节,文件中有字串MACGYVER V1.0.②病毒修改文件头,使首先执行一跳转语句,首先载入病毒体代码. 相似文献
9.
10.
11.
“1099”是流行于PC机上的一种文件型病毒,激发时随机性地改写硬盘,故又名“随机格式化”病毒,改写后的硬盘全是些无用的“垃圾”数据,是种恶性病毒。目前,CPAV2.0和KILL68对之尚不能构成威胁。 本文首先用传统方法对该病毒进行剖析,然后提出一种检测和消除文件型病毒的“模糊分析法”,并给出C语言源程序,完全脱离汇编语言知识,使得普通微机用户也能快速掌握,从而针对新出现的病毒,设计出自己的杀毒工具来。 相似文献
12.
13.
本文对一种新发现的文件型病毒-1091病毒的特征和机制进行了较详细的分析,并据此给出了病毒的检测与清除方法。 相似文献
14.
在名目繁多的计算机病毒群中,文件型病毒数目可观,至少占整个病毒总量的百分之七十以上,因此,及时检测、消灭文件型病毒至关重要.本文根据文件型病毒的特点,提出一种检测并清除该类病毒的一种通用型新方法—”模糊分析法”,并给出具体实例,完全脱离汇编语言知识,使得一般微机用户也能快速掌握,从而针对新出现的病毒,设计出自己的杀毒工具来. 相似文献
15.
本文分析了在PC系列机上流行的DIR—2病毒的传染机理及危害情况,给出了几种简便的检测方法和一个简单且行之有效的清除程序。 相似文献
16.
17.
本文介绍了V2000病毒的危害、症状及其病毒程序的构造,并在分析V2000病毒的基础上,提出了检测V2000病毒和对被它感染的文件进行消毒的方法。 相似文献
18.
19.
“1099”病毒是近年来流行的一种文件型病毒。激发时,将会随机性地改写硬盘,故有的资料称之为“随机格式化病毒”,被改写的硬盘中,文件数据全部丢失,所以是一种“恶性病毒”。1099病毒的感染能力很强,在运行了一个染毒文件后,它就驻留内存,然后在DIR命令下,每列一次目录时,就感染当前目录下的一个可执行文件,先感染.EXE文件,再感染.COM文件。一旦COMMAND.COM文件被感染,则每次开机后它就驻留内存,伺机继续感染其它的可执行文件。研究此病毒可以用如下方法:先把一个无毒的.EXE文件或者.COM文件以.CMP文件复… 相似文献
20.