杀毒软件技术的亲密接触——静态查毒引擎的实现

病毒与反病毒技术在很多朋友眼中总有一些神秘感。在接下来的几期文章中,我们会邀请 Rising 的技术专家向大家介绍关于杀毒软件所用到的方方面面的技术,以求使大家更好的明白杀毒软件到底是如何工作的,同时使大家了解到杀毒技术是如何随着病毒技术的日益变化逐步发展到今天的。在这个过程中,我们会写一系列代码来演示相关的技术,虽然简单,但那可是一个真实引擎的原型。

虚拟机查毒技术的实现

近些年,虚拟机技术在反病毒界也被称为通用解密器,已经成为反病毒软件中最引人注目的部分。本文将以32位自含代码虚拟机w32encode的程序结构和流程为例阐述自含代码虚拟机查毒技术的实现问题。

无法更新瑞星在线查毒

我以前一直用瑞星的在线查毒，每当版本更新后，瑞星在线查毒都会自动下载更新，最近有很长一段时间未曾使用，再想使用时却更新不了了，提示“Newver．ini无法下载，请稍后再试”。请问如何解决？

插入U盘,无需次次扫描查毒

免费杀毒软件这一两年在国内风生水起，虽然功能方面也许还比不上那些国际大牌的收费软件，但对于像我们这些囊中羞涩的上网族来说，免费且够用就是最大的满足。笔者现在使用的就是360杀毒这款在国内装机量非常大的免费杀毒软件。

北京海关缉毒犬首次登机查毒

法制日报1月1日讯 今后，缉毒犬登机查毒将正式成为北京海关口岸缉毒的新手段。目前，两头名叫“维特”和“泰格”的拉布拉多缉毒犬已完成了在首都机场T3航站楼进行的首次缉毒犬登机演练。

玩家需小心 电脑声音被关需要马上查毒

网友们在使用电脑过程中要是突然发现系统的声音“没有”了，一定要马上查毒，因为这很可能是“线上游戏窃取者变种LUF”病毒在作怪。瑞星全球反病毒检测网发布的预警指出，该病毒还会窃取用户网游账号、密码等信息，使玩家蒙受损失。

在线查毒皇家享受

这天，一位才聊不久的MM突然在QQ上传了一个文件给我，说是前些天旅游时拍的照片，要我居民点打开看看。这段时间病毒非常猖獗，而且这个MM也不太熟悉，不得不多加注意。恰好昨天重装了系统，杀毒也来不主安装，怎样才能快速知道这文件是否安全呢？如果使用常规的在线杀毒方式，不仅要下载杀毒插件及病毒库，还浪费了时间，未免过于麻烦，幸好找到一个简单有效的查毒方法，只需几步，就可以让24款知名杀毒软件帮我彻底扫描这个可疑文件，而且完全免费，这样的皇家享受笔者可不敢一个独享。

一次真实的查毒经历

公司最近网络经常很慢，很不稳定，经过排查，问题最终得到了解决，下面是详细过程。 一、检测 1．检测网络 进入DOS命令窗口，用PING命令检测网络，发现网络掉包很严重（如图1），其中“192．168．0．254”表示被测电脑的IP地址，参数“-t”表示不间断探测。

用Mcafee stinger高效查毒

Mcafee stinger是一款单独用来检测和杀除特定病毒的软件．它不同于那种实时防病毒软件，而更像是一种能帮助管理员对付已经受感染的系统，它采用Mcafee的新一代扫描引擎技术．可进行进程扫描，数宇文件扫描，并优化了扫描的速度．软件可检测多种流行病毒和木马程序，进行有效的清除并修复感染文件．通过定期更新．还可以查杀更多的流行病毒及其变种．

李克强挂帅食品安全委 要求彻查毒奶粉犯罪

国务院决定由李克强挂帅设立食品安全委员会，集中整顿食品安全。李克强要求彻查近期死灰复燃的问题奶粉违法犯罪，县级以上政府须负起监管责任。

防火墙里查毒不可行

在防火墙里加入查杀病毒的功能,实现联动是目前部分防火墙厂商的新卖点,对此,有人提出了相反的看法。最近,很多厂商相继推出了防火墙产品,声称可以直接在防火墙上集成病毒检测的模块。以下是这些产品的技术白皮书中的阐述(原文引用):“XX防火墙能实时对邮件病毒进行检测,还可以检测JAVA类病毒、HTML类病毒。当检测到病毒时会自动报警,并同时将病毒和被保护的区域隔离,从而达到保护的目的。”

针对虚拟机查毒的规避方法研究

如今杀毒软件利用虚拟机模拟执行程序,判断其行为是否会对系统安全造成影响,从而由用户决定是放行通过或是报警拦截。针对虚拟机查毒的特点,研究如何检测杀毒软件的虚拟机环境。根据虚拟机环境与真实用户环境的区别,以及特定杀毒软件虚拟机的特有属性,找到规避虚拟机模拟执行的方法,从而使程序不被杀毒软件虚拟执行,欺骗杀毒软件直接放行通过,用来满足某些特定程序的要求。

江民在线查毒漏洞

江民在线查毒功能是使用了OCX控件（VB语言可直接调用其参数），自动将其杀毒文件下载到客户系统目录下。由于其中的一些文件没有经过特殊加密处理，这就会导致用户通过VB程序调用它们实现“免费杀毒功能”，下面我将进行详细说明，VB程序中是如何调用它们的，这里在线查毒自动下载了包括：KvDown．ocx．KvKill．ocx，KvUnInstall．ocx等其它相关文件。用户可通过VB语言直接调用KvDown．ocx控件实现自动升级病毒库，调用KvKill.ocx实现查毒和杀毒，并且还可以通过相应控件的事件来实现相应有选择的查杀例如：

部分查毒引擎的局限及验证

本文利用自主开发工具检测查毒引擎的查毒能力是否存在一定局限性。PE文件结构中有部分区域为空白区域,本文利用随机填充PE文件中空白区域这一方法,在不影响文件正常运行的情况下,修改恶意文件的全文哈希值以及部分恶意特征码结构,随后利用查毒引擎进行查毒检测,验证是否部分查毒软件存在局限性,可以被上述方法绕过。

插闪盘即查毒

众所周知．绝大多数的病毒（如臭名昭著的“熊猫烧香”）会通过闪盘等移动设备感染系统。虽然单位规定使用移动设备时应先查毒后打开，但经常有人因为忘了这一步导致电脑中毒。如果一旦插入闪盘等移动存储设备就自动打开指定杀毒软件扫描．便可使系统更为安全。

雅虎中国与卡巴斯基联手打造在线查毒

雅虎中国的IE客户端新产品——雅虎助手（cn．zs．yahoo．com），事实上脱胎于3721的“上网助手”。随着网络环境的改善以及产业的进一步成熟，用户的需求也开始步向多元化发展。雅虎助手打造的全球性开放软件平台，与卡巴斯基签署了协议，用户可以免费享受卡巴斯基的在线查毒功能。

从查杀机制看病毒防治

对计算机病毒的防治主要取决于对病毒本身和杀毒机制的了解程度。如果您也曾经遇到发现病毒却清除失败．感染病毒后CPU占用率达100％致使计算机无法运行．计算机反复重新启动等中毒现象．也许本文会对您有所帮助。

分布式宽带网络病毒预警系统

对比于传统的主机病毒,在开放式网络环境中,网络病毒攻击能力更强、传播范围更广、破坏力度更大。所以有必要通过建立我国的病毒预警系统,全面监控各地的网络病毒疫情状况。本文研究分布式宽带网络病毒预警模型,实时检测网络病毒疫情。在病毒监控系统中充分采用未知病毒的检测技术,可以及时发现新爆发的病毒疫情,及疫情的发展趋势,制定有效的控制策略,从而减少病毒的危害,并能够及时为国家计算机安全机构提供最新发现的未知病毒样本。

CMOS口令病毒的机理及解毒方法

通过对微机CMOS“口令”病毒(PasswordVirus)的深入剖析,介绍了一些常用的查毒和解毒技术。