計算機病毒殺毒工具設計探索
前言:本站為你精心整理了計算機病毒殺毒工具設計探索范文,希望能為你的創作提供參考價值,我們的客服老師可以幫助你提供個性化的參考范文,歡迎咨詢。
文件掃描部分文件掃描根據特征碼來查找病毒文件,病毒特征碼指信息管理人員根據病毒文件行為來發現病毒文件,然后利用MD5算法唯一性和不可逆性來產生病毒文件的特征碼,把病毒文件特征碼寫到配置文件中去。文件掃描首先從配置文件中讀取配置文件所定義的病毒特征碼,通過遞歸遍歷磁盤上的所有文件,在掃描過程中,計算對正在被掃描的文件特征值與所定義的病毒特征碼進行一一比較,如果匹配成功,則證明該文件為病毒文件,然后通過DOS刪除方式刪除病毒文件。根據病毒文件特征碼來區別正常文件和病毒文件是需要解決的核心問題之一。取病毒特征碼要求這個特征碼具有唯一性[5]。這個特征碼如果不具有唯一性,那么很有可能出現正常文件和病毒文件的特征碼一樣的情況,這樣程序就會將正常文件當病毒文件予以刪除,出現誤殺現象。利用文件的MD5值來識別病毒,是簡單有效的方法之一。MD5的作用是對一段信息(文件)生成信息摘要,該摘要對該信息具有唯一性,文件經過MD5算法產生的信息摘要是唯一的,也就是不同文件的MD5值是不同的,把這個摘要當作病毒的特征碼作為檢測病毒的依據[5]。如何來找到病毒文件?根據病毒的行為特征來找病毒文件,而病毒的行為特征主要有以下幾點:盜用截流系統中斷、修改內存總量和內存控制塊、對可執行文件做寫入操作、引導扇區或執行格式化磁盤等可疑動作,我們根據這些病毒行為發現病毒文件,并將此文件來產生該文件MD5值,這樣就生成了該病毒的特征碼[6]。以explore.exe木馬病毒為例:病毒行為特征為系統的內存被大量占用,在沒啟動explore.exe的情況下進程中有explore,系統死慢等現象,把explore.exe病毒文件找到并利用MD5工具產生MD5值為9536b7519021059979511cab4536a0aa,把該文件MD5值通過記事本添加到配置的文件中進行文件掃描來檢測病毒文件。程序在發現病毒文件后,DOS刪除和重啟刪除相結合的方式刪除病毒,因為只有在純DOS下才能殺毒干凈。文件全盤掃描代碼是利用Windows操作系統的應用程序接口提供的CFileFind類來實現的。文件掃描用BrowseFile(CStringstrFile)和DeleteDirectory(stringdir)DeleteFile(CStringstrFile)函數。
進程強制結束部分首先從配置文件中讀取配置文件所定義的病毒進程名,然后枚舉當前系統正在運行的進程,如果發現系統當前運行的進程中,存在與所定義的病毒進程同名的進程,予以強制結束,詳細流程圖如圖3所示,需要解決的兩個問題是:一是如何枚舉系統當前進程,二是如何強制結束病毒進程。對于第一個問題,可以使用Windows的API函數CreateToolhelp32Snapshot,利用這個函數可以獲得進程快照,然后可以利用Process32First和Process32Next函數枚舉系統當前進程。對于第二個問題,可以使用TerminateProcess函數和提升權限相結合的方式來強制結束病毒進程。單純采用Termi-nateProcess函數還不足以強制結束病毒進程,要想強制結束病毒進程,還需要提升專殺程序本身權限。
病毒注冊表項刪除部分除病毒并不是單純地將病毒文件刪除就可以的,病毒運行時所寫入的注冊表項也需要清理,如果不清理,可能會導致系統出現各種異常。把需要刪除的注冊表項寫到配置文件中,然后進行查找并執行刪除操作。如何去找需要刪除注冊表項呢?我們就需要借助一款工具SREng(SystemRepairEngineer)或者在虛擬機內,運行病毒樣本(在文件掃描過程中已經找到有問題的文件),通過ProcessMonitor監控病毒行為,來查看對系統中的任何文件和注冊表操作同時進行監視和記錄,通過注冊表和文件讀寫的變化,來配置要刪除的注冊表項。軟件SREng智能掃描可生成SREng的日志,通過分析這個日志,我們便能知道病毒在我們的機器里面干了什么。生成的日志里可看到許多信息,當中就有注冊表信息,對注冊表信息進行分析可找到有問題的注冊表項。本文借助ProcessMonitor監控病毒行為,來配置要刪除的注冊表項。詳細的流程圖如圖4所示。由于是對注冊表的操作,需要用到的API有RegOpenKeyEx、RegDeleteKey、Reg-DeleteValue、RegCloseKey四個函數。
系統核心文件替換部分從配置文件中讀取配置文件所定義的需要替換的系統文件的完整路徑,然后在DOS下進行替換操作。
測試結果
軟件的運行環境是WindowsXP操作系統,程序運行前要產生病毒文件的MD5值并填寫到病毒配置文件里,然后運行,發現病毒后會在檢測完重啟在DOS下進行刪除,圖6所示是配置文件和發現病毒結果。該軟件現在已經到反病毒論壇上,網址是//bbs.51cto.com/thread-828626-1.html,軟件名稱《通用病毒自定義專殺工具》供網友們使用測試,得到大家一致好評,但也發現一些BUG,軟件也不斷更新和修改。反映問題結果有如下幾點:(1)在配置文件特征碼數量增多時,發現文件掃描部分的效率降低,用時增加。軟件已經采用將配置文件讀入的病毒特征碼存儲在哈希表中,減少匹配的次數,提高程序掃描效率。(2)程序暴力刪除所支持的平臺問題:本程序暴力刪除病毒文件的方式采用的是DOS刪除和重啟刪除相結合的方式,DOS刪除方式不支持Windows7操作系統,所以本程序在Win-dows7平臺下運行的時候,對病毒文件只能采取重啟刪除的方式,這樣直接導致Windows7平臺下的驅動級病毒的文件無法有效清除。
結語
自定義計算機病毒專殺工具為信息管理人員在病毒庫還沒有更新的情況下提供方便反病毒工具,管理人員可根據文件的病毒行為,用MD5算法的唯一性和不可逆性來產生病毒特征碼,然后填寫配置文件,就可生成不同病毒專殺工具,提高病毒處理效率和計算機安全性。
作者:丁忠林張瑾單位:天津科技大學計算機科學與信息工程學院福建省勞動保障監察總隊
