能力值:
( LV7,RANK:100 )
|
-
-
2 楼
**,看雪上的第一帖……哈哈
|
能力值:
( LV12,RANK:450 )
|
-
-
3 楼
搞个apihook,监视调用了哪些api和哪些危险的参数,把监视的情况打个分,加合起来,然后统计是否到了称为病毒的资格。这样应该比较准确了吧
|
能力值:
( LV8,RANK:130 )
|
-
-
4 楼
越通用的越不准确
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
具体的哪些api和哪些危险的参数怎么界定?怎么打分?能详细点吗?谢谢
|
能力值:
( LV2,RANK:140 )
|
-
-
6 楼
挺简单的,弄个(文件名,病毒名)列表,比较一下即可。 速度飞快~~~~~
|
能力值:
( LV12,RANK:450 )
|
-
-
7 楼
CreateRemoteThread肯定是要有的,监视第一个参数,判断是否为远程线程。
CreateFile最好也监控,对同个进程判断是否短时间内打开N多个文件,防止病毒感染
硬盘。另外对其操作系统文件也要给出提示。
加载驱动的那几个也得监控……不过这不叫杀毒软件,是主动防御范畴的了,呵呵。
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
算法有的推荐我用BM算法来匹配,但是特征值如何匹配?一个文件如何判断它是病毒?
|
能力值:
( LV7,RANK:100 )
|
-
-
9 楼
http://bbs.chinaunix.net/thread-1243138-1-1.html
给你一个我以前用perl写的
[ATTACH]AVscan[/ATTACH]
|
能力值:
![]()
(RANK:570 )
|
-
-
10 楼
BM算法,特征积累多了,你就会发现这是最傻的选择了
|
能力值:
![]()
(RANK:570 )
|
-
-
11 楼
我很认同这个策略,还不怕加壳。再来个随机文件名的识别算法,整个算法可以维持在多项式时间,最少的磁盘IO。
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
如果碰见病毒随机生成文件名怎么办?随机文件名识别算法是什么?
有第二种那个方法来提高准确性吗?
|
能力值:
![]()
(RANK:570 )
|
-
-
13 楼
你写个随机文件名生成器,然后自己观察一下规律,就明白了
|
能力值:
( LV3,RANK:30 )
|
-
-
14 楼
跟我想法一样!
比如A,B,C,D 四个API,满足 A,D 就报可疑行为! 
|
能力值:
( LV3,RANK:30 )
|
-
-
15 楼
用十六进制 来表示一段特征,然后用引擎跟病毒库进行匹配,就OK了!
|
能力值:
( LV2,RANK:10 )
在线值:
|
-
-
16 楼
|
能力值:
( LV9,RANK:680 )
|
-
-
17 楼
弄成主动防御吧,有黑白名单设置,然后监控所有程序和服务以及注册表操作、文件修改创建、驱动加载等等,当然要在开机前取得系统控制权了
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
那如何开机前取得系统控制权?
|
能力值:
![]()
(RANK:450 )
|
-
-
19 楼
就匹配算法来说
有单模匹配 和 多模匹配
单模匹配算法很多,KMP BM都是这类
多模式匹配目前只有两个,基于自动机的 WM 当然国内很多专家学者还搞了很多这种算法,不过都是基于这两个算法的变形算法
杀毒软件的匹配方法不好说 不过 我想一般都是跟WM算法有点关系,基于自动机的算法随着病毒特征码的增加变化等,对资源的占用很无常,一般不使用
|
|
|
|
