三、实例：

简单举例，比如这个病毒(网上找的一个感染COM文件的代码片段)：

cmp ah,3dh
jz   short @@Infect_File   ;截获3d号Dos功能

@@JmpOldInt21:
cli
JmpFar   db 0eah   

@@Infect_File：

....

编译后应该是这个样子：

13B6:0100 80FC 3D   CMP   AH,3Dh
13B6:0104 74 xx   JE   Infect_File
13B6:0107 FA     CLI
13B6:0108 xx xx   XXX

对于这个病毒的检测和清除，我们生成一记录，这个病毒记录在AVP库record中，可以是这种形式，它完全可以检测和解除该病毒的活性：

搜索方法：中断跟踪
地址偏移：1000:0000
匹配字节：80FC
特征长度：6
特征：xxxxxxxx
专用处理过程：NULL
处理偏移地址：3
处理字节长度：2
修复字节：90 90

通过这样一个检测、修复库记录，AVP就可以检测和修复内存中驻留的活性病毒，然后在通过单独的文件病毒检测/修复等处理过程来全面清除磁盘文件中的病毒。

本文是(Avp Reverse Engineering)AVP逆向学习系列一节，所分析的方法在不同版本中略有不同，而基于AVP的良好架构，这些改变主要体现的处理方法的增删，和结构长度变化。

论坛转载地址：http://bbs.kpfans.com/viewthread.php?tid=16898

共2页: 上一页 [1] 2 下一页