防治文件型病毒的一种方法及其在C语言中的实现

本文在分析文件型病毒的特征及现有的预防文件型病毒的方法的基础上,提出了一种防治文件型病毒的新方法,这种方法可以发现几乎所有的文件型病毒并能自动汪除部分病毒,这种方法也可用于分析未知的文件型病毒。最后给出了在C语言中的具体实现方法。     

B483病毒

最近,在我单位的计算机上发现了一种新的病毒,用CPAV、KILL、SCAN均无法检测出来。我对病毒进行了彻底的分析,成功的清除了病毒。因该病毒运行后在内存0000:053E处有B483标志,所以称之为B483病毒。该病毒是文件型病毒,它的感染对象是绝大部分COM文件和EXE文件。     

防治文件型病毒的一种简单易行的方法

本文通过分析文件型病毒的感染机理,结合文件压缩软件的功能,提出了一种抵御文件型病毒、保护计算机系统软件资源的方法。     

一种基于设备驱动程序的微机防病毒方法

本文在分析计算机病毒特点的基础上，提出了一种病毒预警方法，可以有效地阻止各种（山知或未知）引导扇区型病毒、混合型病毒以及已知的各种文件型病毒侵入微机，具有较高的实用价值。     

新1575病毒的清除与免疫

新1575病毒是一种文件型病毒,感染COM和EXE文件.它将病毒体附着在正常程序尾部,修改文件头部指令,使程序运行时先执行病毒部分.本文对照分析了染毒前后的程序,找到了清除病毒的方法,编写     

用TurboC编程检测和消除“627”病毒

最近,我系网络研究室的微机感染上了一种新型计算机病毒,使用CPAV2.0及KILL68均不能检测和消除.由于该病毒的感染,使数据传输受阻,严重时甚至导致整个网络瘫痪.经分析,该病毒为一文件型病毒,只传染大于1KB的.COM文件,且传染速度非常快,使文件长度增加627—639字节不等.由于该病毒使COMMAND.COM文件长度增加627B,故在各权威机构尚未正式命名之前,我们暂称之为“627病毒”.下面分几部分对627病毒进行讨论,并给出检测和消毒程序.     

恶性病毒程序“耶路撒冷B”的剖析

本文介绍了国内已流传的恶性病毒程序“耶路撒冷B”的症状、破坏作用、消毒方法、免疫方法以及有关该病毒的消毒免疫工具的研制情况。     

Symantec研制出CIH病毒的克星

Symantec近日宣布,Symantec反病毒研究中心(SARC)已经研究出一种工具软件,可以用十分简捷的方法“捷捕”到目前在国内横行一时的CIH病毒,然后用杀毒软件如Norton AntiVirus予以剿灭并修复损坏的文件,同时这个软件可以使其内存具有免疫力,防止CIH病毒侵袭。这个工具现在可免费从Symantec的网站下载。 Symantec公司提供的这个搜毒软件延续了其一贯     

“计算机病毒”诊治软件

随着计算机应用的推广和普及,国内外软件的大量流行,使相当规模的计算机系统感染上了病毒,这种流行病还在继续蔓延,给计算机的正常运用造成严重威胁。目前在国内流行的病毒有小球病毒,大麻MARIJUANA,用带这种病毒的盘启动系统有时显示器上出现“Your pc is now stoned”(石头)病毒、巴基斯坦智囊病毒[用DIR命令列磁盘目录时,磁盘卷棕为“Braln”]、杨基都督文件病毒和长方块(犹太人、耶路撒冷、疯狂拷贝)病毒。     

一种防范Win9X下文件型病毒的方案

在剖析了CIH等文件型病毒机理的基础上,针对计算机病毒最本质的特征-传染机制,本文提出一种防洪Win9X平台下文件型病毒的方案,相对于现有的杀毒软件,本方案具有不需要任何病毒库、即时查毒、防范未知病毒等多种特点。     

一种基于病毒签名的文件型病毒检测方法

互联网的迅速增长和应用程序的快速涌现使得病毒传遍全球的速度成级数倍增加。目前,有很大一部分的计算机病毒都属于文件型病毒。针对文件型病毒的特点,借鉴人体免疫的原理,作者提出了一种基于病毒签名思想的新方法用于防御文件型病毒,该方法在健康的宿主程序中进行“接种疫苗”,使得病毒不再感染此宿主程序,从而达到免疫的效果。     

用免疫软件防治文件传染类病毒

本文分析了文件传染类病毒的特点,提出了一种能防治多种文件传染类病毒的方法。并通过免疫软件予以实现。本文提出的防治方法,是通过分析文件被感染后的特征,用免疫软件为可执行文件免疫,使文件被感染后能发现并自动清除病毒。该方法不是针对某一特定病毒实现的,具有一定的通用性,能防治各种已知的和未知的文件传染类病毒。     

1099病毒的检测及清除

1099病毒是一种文件型病毒,攻击扩展名为EXE和COM的可执行DOS文件。该病毒代码长度为1099字节,故称其为“1099病毒”。1 1099病毒感染文件的特点及危害性 该病毒不感染长度低于2KB的文件。病毒代码附着在被感染文件尾部,文件长度增量为1099B 1～16B。原因是该病毒总是将自身复制到原文件末尾之后的第一个节地址(即能被16整除的磁盘地址)处,而在病毒体首字节与原文件末尾之间任意填充内容,导致文件长度增     

STORYTELLER病毒的分析与防治

1 STORYTELLER病毒的特点最近在国内发现一种新的文件型病毒。该病毒对两类系统可执行文件进行传染。对COM型文件传染时,使文件长度增加1261字节;对EXE型文件传染时,由于是在文件的最末尾从一节的起点开始写病毒程序,所以文件长度增加的字节数为1261～1276。在病毒程序的尾部可以看到如下信息:     

2153病毒的分析与防治

一种新的同时具有系统引导型和文件引导型特点的病毒已在国内出现,本文对这种病毒的特点、引导过程和传播方式进行了详细的分析,并给出了具体的诊断和消除这种病毒的方法。     

基于病毒行为动态识别的病毒防御方法

本文在比较目前普遍采用的计算机病毒防御技术后，提出基于病毒行为动态识别的防御思想和方法。该方法不仅能识别同在常见 引导型，文件型和混合型病毒，而且还能识别多态性和插入型病毒等新型病毒。     

基于系统文件补丁方法的Autorun型病毒根治技术

针对近年大量病毒均借助自动播放功能交叉感染和自动激活的客观实际,提出了一种基于系统外壳文件补丁方法的Autorun型病毒根治方案,并且给出了自动部署这种方案的简便方法,同时在此基础上实现了全新部署系统时的针对Autorun型病毒的先天加固。     

FLIP病毒的变种——FLIP-2153B

最近,我们发现了兼有文件引导型和系统引导型病毒特点的FLIP病毒的变种FLIP-2153B。其特点是:在带毒文件中,距文件尾部48H处的病毒特征字节是0EB9,在被感染硬盘的主引导扇区,距首部第28字节处的病毒特征字节是5959。病毒从已被感染的可执行文件进入系统时,硬盘立即被感染,但是系统内存不减少;从系统引导过程中进入系统时,系统内存则减少3KB的空间。国家安全局编制的病毒检测软件ScAN 3.1版和查毒软件CPAV能发现位于硬盘主引导扇区的病毒,却不能发现被感染文件中的病毒。病毒编制者修改了病毒的特征字节和部分病毒程序主要是为了逃避查毒软件的检测。     

[MacGyver]病毒的检测及清除

笔者在本校机房中遇到一种病毒,用美国防毒协会发放的SCAN116版检查报告是[MacG]病毒,但相应的CLEAN116却不能清除,因此笔者对病毒作分析.一、特征①病毒属文件型病毒,只感染.EXE型文件,并将文件时间改为20××年.文件染毒后比原来增长2824字节,文件中有字串MACGYVER V1.0.②病毒修改文件头,使首先执行一跳转语句,首先载入病毒体代码.     

对《使用CRC进行病毒检测》的补充

在本刊的1998年第6期上关于利用CRC进行病毒检测的文章,引起了我的兴趣。在仔细分析程序后发现文章摘要有些疏漏。摘要中提到“通过此方法可以查出所有类型的病毒”,这就出了毛病。我们知道病毒分为系统型、文件型、源码型、宏型。原文介绍的方法只是用于修改文件的文件型病毒,而不适用于其他类型。