[转载]KV300的病毒特征代码过滤技术
信息来源:[url]www.cstc.net.cn[/url]文章备注:好土的文章 但是阐述上也只能找到他了
传统的病毒特征串搜索技术的缺陷源于以下两个方面:
1)抽取特征串时未对特征串进行分析(没有对同种病毒的多个同种染毒宿主上相同位置初的
特征串进行比较,找出共同点,再以此为特征串)
2)搜索病毒时只是单纯地依次比较特征串,没有智能化处理。
KV系列(KV3000没有测试过)的病毒特征代码过滤技术,首次提出并使用了病毒特征过滤串
概念,完全祢补了以上缺点,因此在我国的反病毒战线上大显神威,几乎成为我国反病毒技术
的标准,反病毒软件的后起之秀都纷纷声称可完全兼容KV的病毒特征过滤串。
KV的病毒特征过滤串建立方法如下:
1)提取变形病毒的多个感染样本,最好是对同一个宿主的多次单独感染样本(注意:不是多
次重复感染)。
2)在每个样本的相同位置抽去适当长度的病毒代码(KV支持7-4K多字节),这是传统意义的
病毒特征串。
3)比较这些病毒特征串,依次记下各个样本完全相同的代码,如果一定位置上的代码各个样
本不是完全相同或根本不同,那么把这些常变换的代码用两个问号“??”来代替,每一个双
问好代表一个字节。
4)如果各个样本中的病毒特征串中,从第一组(有1个字节以上含一个字节)相同的特征码
到第二组相同的特征码之间的代码,不仅常变换,而且在每一个样本中她们之间的间距也不相
同,如果是在32个字节内变化,可以用双“%%”百分号来过滤这之间的代码,同样第二组到第
三组也如法炮制……依次类推。
5)按以上方法处理完病毒特征串,我们最后得到的就是KV的病毒特征过滤串,下面是一个K
V300的病毒特征过滤串例子:
"B8 ?? 42 ?? ?? ?? ?? %% B4 40 %% %% B8 ?? 57"
我们可以把新得到的病毒特征过滤串,加入到KV300软件的病毒数据库文本文件VIRUS.dat中
,或者另外生成一个文本文件(文件名可任取,我把它取成NEWVIR.dat)编辑如下内容:(仍
使用上面的病毒特征过滤串例子)
"B8 ?? 42 ?? ?? ?? ?? %% B4 40 %% %% B8 ?? 57"
发现普通的感染文件新病毒!
然后执行
KV300 NEWVIR.DAT
KV300即可按以上的病毒特征过滤串在磁盘文件中搜索病毒了.
建立KV300的病毒特征过滤串有以下几个注意事项:
1)上述病毒特征过滤串后面的汉字串中不得使用西文双引号.
2)双问好"??"和百分号"%%"可交叉使用.
3)当两组病毒特征代码之间的距离大于32个字节时,大于部分可增加一些双问号"??"来接续,
或多用几个"%%"双百分号,每一个双百分号最多可代表32个字节.在选每一个病毒的特征码串加
后面的文字提示串时,其长度最多可达5000个字节.
4)特征过滤串中至少要有三组不变的病毒代码。
相对传统的病毒特征串而言,KV300的病毒特征过滤串建立较为复杂费力,但是非常高效
页:
[1]