卡巴斯基(AVP)内存驻留型病毒检测方法

　　三、实例： Z3j第一天空网络

  Z3j第一天空网络

　　简单举例，比如这个病毒(网上找的一个感染COM文件的代码片段)： Z3j第一天空网络

　　cmp ah,3dh Z3j第一天空网络

　　jz short @@Infect_File ;截获3d号Dos功能 Z3j第一天空网络

　　@@JmpOldInt21: Z3j第一天空网络

　　cli Z3j第一天空网络

　　JmpFar db 0eah Z3j第一天空网络

　　@@Infect_File： Z3j第一天空网络

　　.... Z3j第一天空网络

　　编译后应该是这个样子： Z3j第一天空网络

　　13B6:0100 80FC 3D CMP AH,3Dh Z3j第一天空网络

　　13B6:0104 74 xx JE Infect_File Z3j第一天空网络

　　13B6:0107 FA CLI Z3j第一天空网络

　　13B6:0108 xx xx XXX Z3j第一天空网络

　　对于这个病毒的检测和清除，我们生成一记录，这个病毒记录在AVP库record中，可以是这种形式，它完全可以检测和解除该病毒的活性： Z3j第一天空网络

　　搜索方法：中断跟踪 Z3j第一天空网络

　　地址偏移：1000:0000 Z3j第一天空网络

　　匹配字节：80FC Z3j第一天空网络

　　特征长度：6 Z3j第一天空网络

　　特征：xxxxxxxx Z3j第一天空网络

　　专用处理过程：NULL Z3j第一天空网络

　　处理偏移地址：3 Z3j第一天空网络

　　处理字节长度：2 Z3j第一天空网络

　　修复字节：90 90 Z3j第一天空网络

　　通过这样一个检测、修复库记录，AVP就可以检测和修复内存中驻留的活性病毒，然后在通过单独的文件病毒检测/修复等处理过程来全面清除磁盘文件中的病毒。 Z3j第一天空网络

　　本文是(Avp Reverse Engineering)AVP逆向学习系列一节，所分析的方法在不同版本中略有不同，而基于AVP的良好架构，这些改变主要体现的处理方法的增删，和结构长度变化。Z3j第一天空网络