病毒检测技术在查杀“熊猫烧香”中的实证分析.pdfVIP

第l7卷 第6期 长 春 大 学 学 报 V01．17 No．6 2007年l2月 JOURNAL OF CHANGCHUN UNIVERSn．Y Dee．2007 文章编号：1009—3907(2007)06—0047—04 病毒检测技术在查杀“熊猫烧香”中的实证分析 任师尊 (长春大学 成人教育学院，吉林 长春 130022) 摘 要：为了更好地查杀“熊猫烧香”病毒，我们研究了常用病毒扫描器对“熊猫烧香”存在的明显 不足，并指出改进办法，通过介绍几种病毒检测方法，研究其在“熊猫烧香”中的具体应用。 关键词：病毒检测；特征字扫描；启发式；虚拟机 中图分类号：TP309．5 文献标识码：A 0 引 言 “熊猫烧香”病毒的大肆传播和蔓延，给我们的日常工作和生活带来了极大的不便。我们有必要加强反 病毒的知识，这样才能与病毒程序进行彻底的对抗。在“熊猫烧香”病毒刚开始爆发时，因它把我们常用的 杀毒软件都给关闭了，使得很多人都束手无策。此时此刻研发“熊猫烧香”病毒的专杀工具成为刻不容缓的 事情。今天，虽然“熊猫烧香”已经成为过去，但是研究用多种病毒检测引擎技术在查杀“熊猫烧香”病毒过 程中的应用的目的是为了在以后使我们更从容地应对大规模突如其来的其它种类的病毒。 1 常用病毒扫描器对“熊猫烧香存在的明显不足 因“熊猫烧香”病毒具有在定时器时间内有哪些信誉好的足球投注网站常用杀毒软件，并关闭杀毒软件的功能，这使得常用病毒 扫描器在应对“熊猫烧香”时存在明显的不足。这也使得专杀工具这种扫描器技术得到了发展空问。因为 专杀工具不在常用杀毒软件范围内，“熊猫烧香”虽然能有哪些信誉好的足球投注网站到专杀工具的进程，但是它不能识别出专杀工 具的进程具有反病毒的作用，这样，“熊猫烧香”就不会将其关闭。 解决方法：“熊猫烧香”病毒能让常用病毒扫描器的进程结束，是在它对所有的进程名称进行检测后，发 现常用病毒扫描器正在使用，就向它发送了令它结束的消息WM—CLOSE…，扫描器接收到这个消息后，就会 运行相应的消息响应函数，这个消息响应函数就是用于处理它本身进程结束时要做的工作。 问题的关键在消息响应函数对消息的处理上，一般的常用病毒扫描器只是简单地进行退出前的确认工 作，它会显示退出窗口，问用户是否真的要退出，这时“熊猫烧香”病毒在后台再发送消息WM—QUERYEND SESSION就可以应付进程的确认工作…，甚至进程的退出前的提示窗口都不会来得及显示，进程就被“熊猫 烧香”病毒强迫关闭了。这就要求在处理消息响应函数时必须增加智能判断算法，来区别是用户还是其它 进程在发送消息关闭自己。比如用个系统消息监视器，监视系统中近程问相互传递的消息。或者利用双进 程，这两个进程可以相互唤醒，即使其中一个被强迫关闭了，另一个进程也会及时把它唤醒。 即使“熊猫烧香”在爆发时没有发送令病毒扫描器关闭的消息，很多病毒扫描器也不会马上能查出“熊 猫烧香”，因为在扫描器的病毒库中没有“熊猫烧香”的特征码，但是有一些扫描器是能查出病毒的，由于不 能确切识别出是病毒的类型，这时候也是不能做杀毒处理的，只能隔离。 2 在扫描器中可使用的扫描方法 检测“熊猫烧香”及其变种病毒可以使用的扫描方法有：校验和法、特征字扫描法、启发式扫描法、虚拟 收稿日期：2007．10．13 作者简介：任师尊(1979-)，男，吉林省农安县人，长春大学成人教育学院助教，硕士生，主要从事计算机安全方面的研究。 48 长 春 大 学 学 报 第l7卷 机技术、专杀工具法。 2．1 校验和法 校验和法是按未被病毒感染文件的内容，计算其校验和(任何校验方法都可以)，将该校验和写人特定 文件中保存。在使用未被病毒感染的文件过程中，定期地或每次使用文件前，都检查文件现在内容，并算出 它的校验和，再与原来保存的校验和比较，是否一致，用此方法来判断文件是否被感染。 使用校验和法遇到如已有软件版更新、变更口令、修改运行参数等情况时都会报虚警。 校验和法在应付“熊猫烧香”病毒时，这种技术的实现方法比较简单，能发现熊猫烧香及其变异，但只能 识别出被