目录
数据库系统的PM周期为
数据库的信息是pmon以60秒为周期。数据库的生命周期主要分为四个阶段:需求分析、逻辑设计、物理设计、实现维护。
数据库应用系统的生命周期可以划分为:数据库规划、需求描述与分析、数据库与应用程序设计、数据库设计实现、数据库测试、数据库运维。
电脑中木马病毒怎么办
1.电脑中木马病毒怎么办放下题目,便是答案。
【希望贵机早日恢复正常】【杀毒软件皆装全中毒还要找专杀中毒依旧是为何只因理念没转变不想中毒满头汗学习知识不间断防御病毒来入侵永不中毒金不换】【根本解决之道,不信依旧中毒!】只要阅读《防毒真经》就可以远离盗号,黑客攻击,系统破坏,广告满天飞,木马病毒杀不完之困扰。只要多加修炼必能横行互联网。
面对木马,微微一笑,绝对不抽。看过《防毒真经》的人都说好!!!〓引言〓您是不是感觉病毒杀完又出来,总是杀不净?杀毒软件被关闭?被入侵?您是不是天天为杀毒烦恼?人心憔悴?你愤怒盗号者?讨厌病毒吗?您是不是感觉杀毒软件排名很高,但是实际使用确实一般呢。
这是因为阻止病毒加载能力弱,所以出现反复查杀的情况!从现在开始拒绝病毒木马,互联网安全自我做起。然而杀毒排名并不会考虑到阻止病毒加载能力这个因素,不会作为排名标准,所以排名就是只是扫描静态病毒测试。
『杀毒排名是给人个用户的迷魂汤』杀毒市场的泡沫,靠提高排名来扩大自己的市场,但是企业不吃这一套。排名前几名没有一个是在企业级能带来巨大影响的杀毒排名并不会考虑到阻止病毒加载能力这个因素,不会作为排名标准,所以排名就是只是扫描静态病毒测试。
他们都还是在走传统的路,但像McAfee企业版早已有了GenericBufferOverflowProtection(缓冲区溢位保护)没有一个杀毒测试是在测这个的。〓正文〓《防毒真经》想要彻底不中毒并不容易除非你学习了。
人人都凭几句话就能彻底避免中毒,那么就不可能有病毒流行,也没有存在的意义。【快速成为安全专家3步曲】【第一步学习原理】【第二部找杀毒软件】【第三步McAfee规则杀毒防毒】【第一步学习原理】《Windows安全原理与技术》[AVI]【第二部找杀毒软件】强烈推荐企业版杀毒,McAfee企业版或者Symantec企业版,企业级技术让你更加安全。
『种类最多最全(16个品牌)』或者再搭配一款辅助的超级巡警如果你安装了McAfee企业版防毒软体可以很容易搞定不可删除/杀不完又出来的病毒/免杀病毒终结者『注册表访问保护规则』(利用McAfee自定义规则保护安全模式不被病毒篡改实例)规则名称:自己写要包含的进程:*要排除的进程:预留空根据自己实际填写。
可带路径要保护的注册表项或者注册表值:选择HKLM填入/SYSTEM/ControlSet*/Control/SafeBoot/**规则类型:项要阻止的操作:选中“向项或值中写入”和“创建项或值”和“删除项或值”。
2.电脑里有木马病毒了怎么办、
全面清除计算机的病毒网络时代,病毒已经无所不在。
在层出不穷、变化多端的病毒袭击下,中招基本上是不可避免的了。那么中招以后我们改如何处理(当然必须处理,否则计算机没法替你工作)?是格式化系统然后重装windows,还是请人帮忙……。
因为职业关系,我不得不与这些让人讨厌的东西战斗着,逐步地积累了一些行之有效的办法,供大家参考。一、中毒的一些表现我们怎样知道电脑中病毒了呢?其实电脑中毒跟人生病一样,总会有一些明显的症状表现出来。
例如机器运行十分缓慢、上不了网、杀毒软件升不了级、word文档打不开,电脑不能正常启动、硬盘分区找不到了、数据丢失等等,就是中毒的一些征兆。二、中毒诊断1、按CtrlShiftEse键(同时按此三键),调出windows任务管理器查看系统运行的进程,找出不熟悉进程并记下其名称(这需要经验),如果这些进程是病毒的话,以便于后面的清除。
暂时不要结束这些进程,因为有的病毒或非法的进程可能在此没法结束。点击性能查看CPU和内存的当前状态,如果CPU的利用率接近100%或内存的占用值居高不下,此时电脑中毒的可能性是95%。
2、查看windows当前启动的服务项,由“控制面板”的“管理工具”里打开“服务”。看右栏状态为“启动”启动类别为“自动”项的行;一般而言,正常的windows服务,基本上是有描述内容的(少数被骇客或蠕虫病毒伪造的除外),此时双击打开认为有问题的服务项查看其属性里的可执行文件的路径和名称,假如其名称和路径为C:\winnt\system32\explored.exe,计算机中招。
有一种情况是“控制面板”打不开或者是所有里面的图标跑到左边,中间有一纵向的滚动条,而右边为空白,再双击添加/删除程序或管理工具,窗体内是空的,这是病毒文件winhlpp32.exe发作的特性。3、运行注册表编辑器,命令为regedit或regedt32,查看都有那些程序与windows一起启动。
主要看Hkey_Local_Machine\Software\MicroSoft\Windows\CurrentVersion\Run和后面几个RunOnce等,查看窗体右侧的项值,看是否有非法的启动项。WindowsXp运行msconfig也起相同的作用。
随着经验的积累,你可以轻易的判断病毒的启动项。4、用浏览器上网判断。
前一阵发作的Gaobot病毒,可以上yahoo,sony等网站,但是不能访问诸如,这样著名的安全厂商的网站,安装了symantecNorton2004的杀毒软件不能上网升级。5、取消隐藏属性,查看系统文件夹winnt(windows)\system32,如果打开后文件夹为空,表明电脑已经中毒;打开system32后,可以对图标按类型排序,看有没有流行病毒的执行文件存在。
顺便查一下文件夹Tasks,wins,drivers.目前有的病毒执行文件就藏身于此;drivers\etc下的文件hosts是病毒喜欢篡改的对象,它本来只有700字节左右,被篡改后就成了1Kb以上,这是造成一般网站能访问而安全厂商网站不能访问、著名杀毒软件不能升级的原因所在。6、由杀毒软件判断是否中毒,如果中毒,杀毒软件会被病毒程序自动终止,并且手动升级失败。
三、灭毒1、在注册表里删除随系统启动的非法程序,然后在注册表中搜索所有该键值,删除之。当成系统服务启动的病毒程序,会在Hkey_Local_Machine\System\Controlset001\services和controlset002\services里藏身,找到之后一并消灭。
2、停止有问题的服务,改自动为禁止。3、如果文件system32\drivers\etc\hosts被篡改,恢复它,即只剩下一行有效值“127.0.0.1localhost”,其余的行删除。
再把host设置成只读。4、重启电脑,摁F8进“带网络的安全模式”。
目的是不让病毒程序启动,又可以对Windows升级打补丁和对杀毒软件升级。5、搜索病毒的执行文件,手动消灭之。
6、对Windows升级打补丁和对杀毒软件升级。7、关闭不必要的系统服务,如remoteregistryservice。
8、第6步完成后用杀毒软件对系统进行全面的扫描,剿灭漏网之鱼。9、上步完成后,重启计算机,完成所有操作。
四、建议防范病毒作用远甚于查杀病毒。因此建立严密的防范措施是十分必要的。
在具备条件的大中型网络里,应该软硬兼施、立体防护。理想得到情况是:Inter的接入处是外网防火墙;紧接着是防毒网关;然后是路由器,服务器区,可为应用服务器配置一台病毒服务器;再往内是内网防火墙;内网架设杀毒服务器,每个用户都安装杀毒软件的可管理客户端。
或者安装雨过天晴电脑保护系统,自定义选择保护分区。
3.电脑被发现中了木马病毒,怎么办
瑞星杀毒软件官方整合正式版序列号:T1BULQ-70AWDE-9P90SF-7TD200ID:RB2NA22T下载地址:瑞星防火墙2006版序列号:T1BULQ-70AWDE-9P90SF-7TD200ID:RB2NA22T升级方法:下载一个升级保姆,一点击就可以升级,与正版没有区别。
瑞星升级保姆绿色免杀版(下载后运行RSUpper,在弹出的画面上点击瑞星杀毒软件,如果被视死为病毒,可先忽略,然后禁用瑞星杀毒软件的所有监控再升级)下载安装升级后对电脑进行全面杀毒。
4.关于木马病毒的解决方法我的电脑中了2个木马病毒```````该怎
木马病毒,最好在安全模式杀掉。
杀毒前,右键点我的电脑--属性--系统还原--把所有驱动还原前面打上钩关掉他。这样做是防止win恢复它。
然后重启计算机按F8进入安全模式启动杀毒软件杀毒。杀完毒后,进入普通模式再把系统还原打开。
也可以使用木马杀毒软件。EwidoSecuritySuitePlus是最强的木马杀毒软件,国内的木马x星等和它比简直是小儿科。
在电脑上已经安装的其它安全软件基础上,可以安装EwidoSecuritySuitePlus补充为一个完整的安全系统。plus版本能实时监测整个系统运行,监测内存,内核自保护,在线升级等。
程序可识别并清除近20万种不同的黑客程序,木马程序,蠕虫程序,Dialers程序等!全面保护你的网络安全。
5.电脑中木马病毒怎么办
一号方案【新P】注意【原创】:1.安全模式下,效果更好!2.以下所要使用的软件,都要安装或升级到最新版本,以保证使用的效果。
3.不杀毒,直接使用以下方法也可以。若效果不好,就在安全模式下用优质杀毒软件(如:卡巴斯基)杀一下,360安全卫士最好也用一下。
(用360安全卫士的“杀木马”----“全盘扫描”。杀完重启。)
以下方法,不一定都要用,可以一个一个去试。有时,仅第一个就管用了。
一.关闭浏览器,打开新版本360安全卫士的“系统修复”,可根据情况,将“主页修复”“系统修复”“IE修复”选择打钩(也可全选。至少要选“系统修复”),再点“一键修复”。
(懒得安装它,就直接用360急救箱)。再用360急救箱。
【按步骤操作:先“开始急救”;扫描完后,出现木马,就点“隔离”;再点“修复”(可以全选)――“立即修复”。接着,点“恢复丢失的DLL文件”,添加系统检测时所得知丢失的DLL文件,再点“立即修复'。
“修复网络”视情况而决定是否修复。完后,应重启。】
二.用360安全卫士的“清理插件”进行扫描,扫除恶意插件后,进行清理。完后应重启。
三.用windows清理助手(从网上下载)。扫描后(若扫出东西,都勾并清理),再用故障修复(全选),然后在桌面点鼠标右键刷新。
安全模式下效果好。也可考虑用金山急救箱【点扫描后,如果出现可以修复的项目,全选后,点修复即可。】
强调------1.修复中,杀软或360有提示时,请点允许。操作中如提示重启就重启下电脑。
2.效果不好时,看“注意”中的三点。3.完后,效果不好的话,也可考虑系统还原一下(选好还原点)。
祝你成功。
6.如果电脑中木马病毒怎么办
华军软件园下载地址:
木马清道夫介绍:
《Windows木马清道夫》是一款专门查杀并可辅助查杀木马的专业级反木马信息安全产品,是全新一代的木马克星!《Windows木马清道夫》可自动查杀近10万种木马,配合手动分析可近100%对未知木马进行查杀!它不仅可以查木马,还可以分析出后门程序,黑客程序等等。它专业的分析功能,完美的升级功能,使您不再惧怕木马,让您远离木马的困扰!还不快把这位安全防卫专家请进您的电脑,您还在犹豫什么?
为什么要选择《Windows木马清道夫》?
(1)自动查杀近10万种木马病毒、流行病毒及间谍程序等等
(2)有效的未知木马探测功能
(3)嵌入式行为分析,对每一个可疑程序的启动进行有效的拦截
(4)高速准确的硬盘扫描引擎,更快更稳定,将误杀降到最低
(5)专业的辅助查杀功能,让您迅速了解本机的安全状况
(6)强大的漏洞检测功能,增强您系统的抵抗力
(7)人性化的操作界面,更容易上手
(8)内置高性能木马防火墙,真正实时保护系统及网络的安全
(9)提供插件扩展,更方便地扩展软件的各种功能
(10)完善的木马上报系统,及时地做出响应
(11)木马病毒库每天更新,让软件始终保持抵御最新木马病毒的状态!
7.电脑中木马病毒
电脑中木马病毒?怎么办?2008七款免费杀毒软件权威推荐警惕那些挂着免费旗号,实际上有免费期限或者功能限制的杀毒软件。
某些下载网站为了获取流量,往往强调某某杀毒软件完全免费无限制,下载使用几个月后发现试用期已过,或者下载后发现干脆只能查毒不能杀毒。它们实质是用钓鱼方式欺骗用户的收费杀软。
以下推荐几款真正免费的杀毒软件。先说说菜鸟们用免费杀毒软件最关注的两个问题:1、免费杀软比收费杀软差很多么?网络中一直流传着一种观点:出品免费杀毒软件公司规模小、技术落后、不正规,售后服务能力差。
其实这是带有误导性的片面之词,曾排名世界第一位的捷克的杀毒软件AVAST,或者是来自德国的大名鼎鼎的“红伞”,这些世界顶尖公司的杀毒软件对非商业用户都是免费的。实质上免费的杀毒软件商更注重技术研发、也更具有市场魄力。
它们放眼于企业级高端用户或策划面向未来的盈利模式,把投资用于技术,看重用户的体验性,目的是让更多的人安装免费软件,实际上是一种长远“投资”。比如国内的“360安全卫士”、“超级巡警”。
虽然免费却都有着不错的口碑和广泛的忠实用户。反而恰恰是一些收费软件,明知到免费是大势所趋,却报着“捞一把”就走的心理,把大量投资用于铺天盖地的传统广告,实际杀毒能力却不敢恭维。
再者如今机器硬件性能提高,免费的杀软一般占用资源比较小,而且都有不占资源的绿色版。多安装几款免费的杀软,其杀毒效果也会匹敌甚至超过正版杀毒软件。
2、选择收费软件的破解版怎么样?很多国内外知名杀毒软件存在破解版,包括离线升级包。但笔者不推荐于菜鸟用户下载使用。
众所周知,安全、正规的下载网站不可能提供杀毒破解版,菜鸟去网络中搜索,难免不会遇到含病毒、木马或者欺骗信息的下载站。还有人在破解版杀毒软件中做手脚,放置广告。
有的甚至本身就含有木马下载器。就算下载到不含病毒的破解版杀毒软件,其更新也是问题。
对于病毒库每时每刻都升级的杀毒软件,不能获取更新效果就大打折扣。有正版免费的杀毒软件何苦用盗版的呢?还有盗版毕竟是违反法规的……闲言至此,正版免费杀软推荐开始:一、360安全卫士、360保险箱作为新理念的“安全平台”,360不是传统意义的杀毒软件,而是一款装机必备的杀毒辅助软件。
可以完美配合以下六种杀毒软件。360安全卫士是国内最受欢迎免费安全软件,它拥有查杀流行木马、清理恶评及系统插件,管理应用软件,卡巴斯基杀毒,系统实时保护,修复系统漏洞等数个强劲功能,同时还提供系统全面诊断,弹出插件免疫,清理使用痕迹以及系统还原等特定辅助功能,并且提供对系统的全面诊断报告,方便用户及时定位问题所在,真正为每一位用户提供全方位系统安全保护。
360保险箱是360安全中心推出的帐号密码安全保护软件,完全免费,采用的主动防御技术,可以阻止盗号木马对网游、聊天等程序的侵入,主要帮助用户保护网游帐号、聊天帐号、网银帐号、炒股帐号等,防止由于帐号丢失导致的虚拟资产和真实资产受到损失。与360安全卫士配合使用,保护效果加倍!360百科给用户普及安全知识,提高了大家的安全防卫意识。
官方网站:三、超级巡警一款轻松对付“熊猫”强悍杀毒引擎,加上业内前沿的系统局部保险箱防御理念,再来一个独一无二的网页杀毒引擎(畅游巡警)。一套前沿的立体式防御方案。
你相信么?它完全是免费的,超级巡警对付国内流行病毒尤其是来自网页的威胁堪称一流。在对付熊猫病毒战役中,面对国内外众多杀软强手,脱颖而出,一战成名。
超级巡警是国内第一款完全免费的杀毒软件,”保险箱技术“最初也源自超级巡警,可以局部保护系统,有针。
symantec在电脑里是什么意思
symantec是一款电脑。赛门铁克是一家计算机软件公司,其产品主要是以下几款软件:赛门铁克杀毒软件SymantecAntiVirus、杀毒软件NortonAntiVirus、NortonWinDoctor诺顿系统医生。赛门铁克(Symantec)公司成立于1982年4月,公司总部位于的Cupertino,现已在全球40多个设有分支机构,2006年全球销售额超过50亿美金,全球员工超过17,500人。赛门铁克是领域全球领先的解决方案提供商,为企业、个人用户和服务供应商提供广泛的内容和网络安全软件及硬件的解决方案,可以帮助个人和企业确保信息的安全性、可用性和完整性。扩展资料:symantec的处理机制:1、隔离——将带有病毒的文件移动到了隔离区,此时病毒不能造成破坏,完全处于隔离状态,只有诺顿杀毒程序可以访问这些被隔离的文件,用户可以在隔离区内对文件进行恢复和删除;2、修复——病毒完全被识别,赛门铁克、以及其旗下产品诺顿能成功的从文件中分离并清除了病毒代码,并保留正常文件;3、删除——带有病毒代码的文件已经被诺顿删除,将不再可以恢复;4、不操作——诺顿无法对带有病毒的文件进行任何操作,主要的原因是病毒程序正在运行,且进程为系统关键进程,无法通过中止进程来完成杀毒。参考资料来源:高分求教关于诺顿杀毒软件
诺顿是分很多的版本,不过所有的版本都一样,升级病毒库的,杀毒能力是一样,不用怀疑,你放心吧,没有问题的,我的IBM电脑,正版系统自带nortonantivirus(OEM)版本:11.0.16.2OIBM(90),也是2005的,和你的应该是一样,不过只可以试用三个月,过后要付费续订,当然在三个月内可以自动升级的,个人感觉杀毒能力不比其它的杀软差,因为偶偶尔玩一下黑,木马在瑞星上根本检测不到,放在诺顿上马上被杀,而是直接就删除了,没商量的,呵呵,比较郁闷啊,害我每次都要先备份一下马,所以我觉得不错的.1.只要启动了诺顿的所有防护功能,是很安全的,另外打开WINDOWS的防火墙,关闭系统不用的服务,可以免遭黑客的攻击,详细地方在控制面板/管理工具/服务,你自己看一下就明白了,关闭不用的服务.
2.你说版本落后吧,我觉得没什么,能升级没问题的,呵呵,个人感觉哈,如果确实想换,就卡吧,一样超强.现在官方有下载,不过好像只能试用一个月,你也可以找找破解的,听我的,没措.
3.电脑速度慢,这个原因就不好说了,可能系统垃圾多,你可以用优化大师进行清理,不建议用安装版本的,我都是用绿色版的,下载就可以用,无需安装,你可以下载试试,超级兔子很少用,不太清楚,印象中有一次它来强力修复IE.结果整得IE无法使用.哈哈,从此弃之.别外一个原因就是启动项太多了,造成系统缓慢,你可以关掉不用的启动项,操作方法,运行/msconfig/点击启动选项卡,除了杀软和输入法以外,把所有的钩去掉.确定,重启,是不是快了很多.
4.意思不太清楚,是不是想一点图标就回到桌面,这个好办呀,鼠标在任务栏处击右键/工具栏/快速启动,那么左下方任务栏就有显示桌面的图标了,你可直接把它拖到桌面就OK了,不知道是不是这个意思.呵呵.
如果你的电脑已经中毒,赶紧升级杀软进行查杀,自己搞不定的上论坛求救,也可以找个高手帮你看看,根据现你描述不能肯定中了什么毒,不重装系统的话,毒肯定是可能清除的,只是方法问题了,可能很麻烦,我也不好说.因为不清楚情况.况且这东西也没法说清楚的.
写了那么多,希望能帮到你哈....
赛门铁克企业版杀毒软件应怎样设置?
这3套Symantec杀毒软件均包括服务器端安装程序和客户端安装程序,且不面向个人用户出售,在企业环境中通过配置服务器端,每台客户端都通过服务器端更新,服务器端通过网络与Symantec升级服务器连接来进行更新,由于一些特殊原因企业中的某些客户端会因为无法与服务器端连接而无法更新,因此Symantec在设计程序时允许客户端选择单独安装模式(即不接受服务器端管理模式),客户端在安装时选择不接受服务器端管理的话就能够直接从赛门铁克服务器更新(企业版不需要验证),由于企业泄漏出来的客户端安装程序广为流传,并且由于企业版不需要验证,大家均利用这一点来进行免费使用。目前个人用户常用企业版杀毒软件是SEP11系列。这3款中,SAV是单独的杀毒软件不带防火墙模块;SCS是杀毒软件和防火墙的套装,但是仅仅是简单的整合;SEP是杀毒软件和防火墙的无缝整合,并且带有主动防御模块。杀毒软件的杀毒原理是什么
现在有很多各种类型的杀毒软件,从以前收费的,到现在大部分免费的,但是大部分人不了解其内部杀毒原理。下面对杀毒软件的工作原理作详细介绍。
一、杀毒软件原理基础
一个杀毒软件的构造的复杂程度要远远高于木马或病毒,所以其原理也比较复杂。而且鉴于现在木马病毒越来越向系统底层发展,杀毒软件的编译技术也在不断向系统底层靠近。
例如现在的“主动防御”技术,就是应用RING0层的编译技巧。这里简单介绍一下基本构成。
一个杀毒软件一般由扫描器、病毒库与虚拟机组成,并由主程序将其结为一体,如图1
扫描器是杀毒软件的核心,用于发现病毒,一个杀毒软件的杀毒效果好坏就直接取决于它的扫描器编译技术与算法是否先进,而且杀毒软件不同的功能往往对应着不同的扫描器,也就是说,大多数杀毒软件都是由多个扫描器组成的。
而病毒库存储的特征码形式则取决于扫描器采用哪种扫描技术。它里面存储着很多病毒所具有的独一无二的特征字符,称之为“特征码”。特征码总的分来只有两个,文件特征码与内存特征码。文件特征码存在于一些未执行的文件里,例如EXE文件、RMVB文件、jpg文件甚至是txt文件中都有可能存在文件特征码,也都有可能被查杀。而内存特征码仅仅存在于内存中已运行的应用程序。而虚拟机则是最近引进的概念,它可以使病毒在一个由杀毒软件构建的虚拟环境中执行,与现实的CPU、硬盘等完全隔离,从而可以更加深入的检测文件的安全性。
简单的说,杀毒软件的原理就是匹配特征码。
当扫描得到一个文件时,杀毒软件会检测这个文件里是否包含病毒库里所包含的特征码,如果有,则报毒病查杀,如果没有,纵然这个文件确实是一个病毒,它也会把它当作正常文件来看待。
二、基于文件扫描的杀毒技术
基于文件的杀毒技术可以分为“第一代扫描技术”、“第二代扫描技术”与“算法扫描”这三种方法,对于免杀爱好者来说,要对每一种方法烂熟于心,才能成为高手!但做为一个初学者来说了解一下即可。
这里介绍一下其中两种种方法,详细的技术原理如果各位得这有兴趣的话可以自行研究。
1、通配符扫描技术
通配符扫描技术属于是第一代扫描技术的一个分支,对于“通配符”,可以理解为具有一定意义的符号,例如DOS命令里的*号就是任意长度的任意字符的意思,而且通配符在不同的领域也里可以代表不同的意思。
现在杀毒软件中简单的扫描器常常支持通配符,因为鉴于字符串扫描技术的执行速度与特征码长度限制等问题,使得其逐渐退出历史舞台,取而代之的是通配符扫描技术,通配符扫描技术以同样简单的原理与技术却实现了更为强大的功能。
扫描器中的通配符一般用于跳过某些字节或字节范围,以至于现在有些扫描器还支持正则表达式!
下面通过一个例子来讲解通配符扫描技术的原理。
例如病毒库中有这样一段特征码:0400
B801020E07BB??0233C98BD1
419C上面的特征码可以解释为:
1、尝试匹配04,如果找到则继续,否则跳出。
2、尝试上一匹配目标后匹配00,如果找到则继续,否则跳出。
3、尝试上一匹配目标后匹配B8,如果找到则继续,否则跳出。
4、尝试上一匹配目标后匹配01,如果找到则继续,否则跳出。
5、尝试上一匹配目标后匹配02,如果找到则继续,否则跳出。
6、尝试上一匹配目标后匹配0E,如果找到则继续,否则跳出。
7、尝试上一匹配目标后匹配07,如果找到则继续,否则跳出。
8、尝试上一匹配目标后匹配BB,如果找到则继续,否则跳出。
9、忽略此字节。
10、尝试上一匹配目标后匹配02,如果找到则继续,否则跳出。
11、在接下来的3个位置(字节)中尝试匹配33,如果找到则继续,否则跳出。
12、尝试上一匹配目标后匹配C9,如果找到则继续,否则跳出。
13、尝试上一匹配目标后匹配8B,如果找到则继续,否则跳出。
14、尝试上一匹配目标后匹配D1,如果找到则继续,否则跳出。
15、尝试上一匹配目标后匹配41,如果找到则继续,否则跳出。
16、尝试上一匹配目标后匹配9C,如果找到则继续,否则跳出。
这种扫描技术通常支持半字节匹配,这样可以更精确地匹配特征码,一些早期的加密病毒用这种方法都比较容易检测出来。
其实现在的一些特征码仍然在使用类似此种方法的特征码表达技术,因此掌握这些知识会对以后的免杀有所帮助,同样可以使在定位特征码时更加了解自己正在做什么,以及做的是否正确等等,这非常重要。
2、智能扫描
智能扫描属于第二代扫描技术的一个分支,这种方法是在一种病毒变异工具包出现之后提出的。智能扫描法会忽略检测文件中象NOP这样的无意义指令。而对于文本格式的脚本病毒或宏病毒,则可以替换掉多余的例如空格、换行符或制表符等空白字符,这一切替换动作在扫描缓冲区就会执行,从而大大提高了扫描器的检测能力。
3、近似精确识别法
近似精确识别法同样是属于第二代扫描技术的一个分支,但是相比起来应用的更为广泛,这种扫描技术包含了两种方式与若干种方法,在这里不可能一一介绍,下面将主要介绍两种方法的代表。
方法一:多套特征码
该方法采用两个或更多个字符串集来检测每个病毒,如果扫描器检测到其中一个特征符合,那么就会警告发现变种,但并不会执行下一步操作(例如清除病毒体或删除文件)。如果多个特征码全部符合,则报警发现病毒,并执行下一步操作。
方法二:效验和
对于校验和,也许有些朋友会想到文件校验和比对的方法,这个方法的思路是将每一个无毒的文件生成一个校验和,等待下次扫描时在进行简单的校验和比对即可,如果校验和有所变化,在进行进一步的扫描,这样有利于提升扫描器的效率,但是严格地说,这并不算是扫描技术。
效验和扫描技术利用的最为到位的就是比较出名的KAV(卡巴斯基)了,它的第二代扫描器就采用了密码效验和技术,并且没有使用任何搜索字符串技术。关于效验和是一个复杂的概念,简单的说就是通过对病毒中的某一段代码的计算,从而得出一个值(例如123XY4),与MD5加密有些相似,当然这样说不完全正确。
但KAV采用的是一种由卡巴斯基发明的一种叫做密码效验和的特殊算法,这种算法通常会产生两个值。而且病毒库的查询采用了特征码分类思想,例如扫描EXE文件时只调用与EXE文件有关的病毒库,而根据EXE文件的位置不同(例如文件头、入口点)又分为不同的子库,这样有利于提高扫描速度。
三、由此得出的一些经验
首先应该明白第一个例子介绍的通配符“0400B801020E07BB??0233C98BD1
419C”代表的肯定不是一个字节。
也就是说,杀毒软件厂商定位的特征一般都是数十字节,所以定位特征码时就要避免定位过于精确,一般保证在10字节以内就足够了!因为如果特征码定位的过于精确,会为以后的修改操作带来很大不必要的麻烦。可以简单的想一下,是修改一个字节的方法多,还是修改10字节的方法多?
而由智能扫描也可以得出一个结论,就是不要将杀毒软件想的太傻,例如属于智能扫描的一个分支——启发式扫描,它会将一些异常改动计算到可能性的“权值”里,如果一个文件的可疑改动过多,就会导致报毒,这样之前所做的一些工作就起到了相反的作用,是典型的画蛇添足。
所以,修改木马文件时也要掌握一个度的问题,不要修改的过多,但还要保证自己的木马免杀时间够长,这就要明白那些更改会被归为可疑修改,而那些则不会。
