如何提取病毒特征码 【杀毒软件病毒库的设计方法】
【步骤】
1 算整个文件的MD5 ;这个一般在病毒爆发的最快时间类 出pattern的应急之方法 等以后通过分析,将采用下面的pattern的分析结果。
2 静态分析文件的结构 ,如PE(关于结构有很多资料的) 寻找里面的代码段 入口点 等等信息,一般提取2个以上的点 中间用通配符号。
3 特征的提取 通知需要结合动态的分析(也就是让病毒在运行中 分析) ,当然基本还是以静态分析为主。至于 位置的选取 我暂时还不清楚有什么特别显著的规律。
【注意】
病毒特征码 != 反汇编得到的代码, 病毒特征码 是病毒文件本身的字节
【参考】
可以去参考开源杀毒项目 Clamav.net ,现在很多公司做的病毒过滤网关都是使用这个杀毒引擎作为基本代码来源的(做改造)。
1 算整个文件的MD5 ;这个一般在病毒爆发的最快时间类 出pattern的应急之方法 等以后通过分析,将采用下面的pattern的分析结果。
2 静态分析文件的结构 ,如PE(关于结构有很多资料的) 寻找里面的代码段 入口点 等等信息,一般提取2个以上的点 中间用通配符号。
3 特征的提取 通知需要结合动态的分析(也就是让病毒在运行中 分析) ,当然基本还是以静态分析为主。至于 位置的选取 我暂时还不清楚有什么特别显著的规律。
【注意】
病毒特征码 != 反汇编得到的代码, 病毒特征码 是病毒文件本身的字节
【参考】
可以去参考开源杀毒项目 Clamav.net ,现在很多公司做的病毒过滤网关都是使用这个杀毒引擎作为基本代码来源的(做改造)。
浙公网安备 33010602011771号