杀毒软件技术之静态查毒引擎的实现
发布时间:2006-09-03 11:32:17 来源:程序员杂志 网友评论 0 条 库与引擎类
清楚了病毒库的构成后,接下来我们看一下具体的扫描方法。关键要把引擎、库与被扫描对象之间的基本关系和分工搞清楚。
引擎(CEngine)负责被扫描对象的遍历,对应到目前版本的代码上,引擎遍历目录,将找到的文件生成被扫描对象(CScanObj)交给当前病毒库对象的Search()方法。而病毒数据库对象(CVirusDB)则负责在自己管理的库中搜索。为了演示程序的简单,这一版的病毒库没有从文件中加载,而是直接在CVirusDB::Load()中编码进去的。从整体上来看,搜索过程经历了下面3 个阶段:
1. CEngine遍历目录,生成被扫描对象并把该对象传递到病毒数据库中m_pcVDB->Search(&cScanObj)
2. 病毒数据库搜索自身的记录CVirusDB::Search(),并调用被扫描对象CFileObject 的Compare()方法进行匹配;
3. 被扫描对象返回匹配结果,病毒库对象(CVirusDB)根据结果来决定是否是病毒,并返回病毒ID。
下面就来仔细看看以上提到的每一个关键部分:
首先是引擎的目录遍历。CEngine 类中DFS()函数是负责文件系统深度优先搜索的函数,其中以下一段就是产生一个对象,然后传递给CVirusDB::Search()方法来查毒:
其次是病毒数据库的搜索工作。CVirusDB类中的Search函数是用于在病毒库中匹配特征的成员函数,内容如下:
While 循环是遍历本病毒库中所有的记录。在For循环中,根据指向VRECORD 结构的指针pVRec中dwSignCount 的内容可知特征码的数量。然后循环用pScanObj->Compare()函数比较每段特征码与文件中指定偏移处的内容是否一致,如果全部一致,则说明该文件是病毒。
最后,被扫描对象进行特征串的匹配其实就是memcmp,这一步没有什么特别的。
本次主要为大家介绍了根据特征码查病毒的方法,源代码可以在网站http://bav.netsv.org 下载。在真实的环境中,查毒引擎的设计要比这个例子复杂上很多,一般都有多个库,还利用了诸如脱壳,解压,虚拟机等等技术,这些我们将在日后的文章中逐渐介绍。
清楚了病毒库的构成后,接下来我们看一下具体的扫描方法。关键要把引擎、库与被扫描对象之间的基本关系和分工搞清楚。
引擎(CEngine)负责被扫描对象的遍历,对应到目前版本的代码上,引擎遍历目录,将找到的文件生成被扫描对象(CScanObj)交给当前病毒库对象的Search()方法。而病毒数据库对象(CVirusDB)则负责在自己管理的库中搜索。为了演示程序的简单,这一版的病毒库没有从文件中加载,而是直接在CVirusDB::Load()中编码进去的。从整体上来看,搜索过程经历了下面3 个阶段:
1. CEngine遍历目录,生成被扫描对象并把该对象传递到病毒数据库中m_pcVDB->Search(&cScanObj)
2. 病毒数据库搜索自身的记录CVirusDB::Search(),并调用被扫描对象CFileObject 的Compare()方法进行匹配;
3. 被扫描对象返回匹配结果,病毒库对象(CVirusDB)根据结果来决定是否是病毒,并返回病毒ID。
下面就来仔细看看以上提到的每一个关键部分:
首先是引擎的目录遍历。CEngine 类中DFS()函数是负责文件系统深度优先搜索的函数,其中以下一段就是产生一个对象,然后传递给CVirusDB::Search()方法来查毒:
| { m_cScanResults.dwObjCount++; CFileObject cScanObj; cScanObj.m_eObjType = BO_PHY_FILE; cScanObj.m_strObjName = lpszPathName; if( !cScanObj.Open() ) { // TODO: show error here. return; } DWORD dwVID = m_pcVDB->Search(&cScanObj); if( dwVID ) { PSCAN_RECORD pScanRecord = new SCAN_RECORD; if(pScanRecord) { CFileObject* pScanObj = new CFileObject(cScanObj); pScanRecord->dwVirusID = dwVID; pScanRecord->eResult = BR_WITH_VIRUS; pScanRecord->pScanObject= pScanObj; pScanRecord->pNext = m_cScanResults.pScanRecords; m_cScanResults.pScanRecords = pScanRecord; m_cScanResults.dwRecCount++; } } cScanObj.Close(); } |
其次是病毒数据库的搜索工作。CVirusDB类中的Search函数是用于在病毒库中匹配特征的成员函数,内容如下:
| DWORD CVirusDB::Search(CScanObject* pScanObj) { list<PVRECORD>::iterator iter = m_listVRecords.begin(); while(iter!=m_listVRecords.end()) { PVRECORD pVRec = *iter; ASSERT(pVRec); if(pVRec) { bool bVirus = true; for(unsigned int i=0; i<pVRec->dwSignCount; i++) { bVirus &= pScanObj->Compare (pVRec->pVSing[i]->dwOffset, pVRec->pVSing[i]->dwSize, pVRec->pVSing[i]->Signature); if(!bVirus) break; } // match all signatures if(bVirus) { return pVRec->dwVirusID; } } else { // error return 0xFFFFFFFF; } iter++; } // no match record in VirusDB return 0; } |
While 循环是遍历本病毒库中所有的记录。在For循环中,根据指向VRECORD 结构的指针pVRec中dwSignCount 的内容可知特征码的数量。然后循环用pScanObj->Compare()函数比较每段特征码与文件中指定偏移处的内容是否一致,如果全部一致,则说明该文件是病毒。
最后,被扫描对象进行特征串的匹配其实就是memcmp,这一步没有什么特别的。
本次主要为大家介绍了根据特征码查病毒的方法,源代码可以在网站http://bav.netsv.org 下载。在真实的环境中,查毒引擎的设计要比这个例子复杂上很多,一般都有多个库,还利用了诸如脱壳,解压,虚拟机等等技术,这些我们将在日后的文章中逐渐介绍。
- 推荐阅讯
- 开发保留标准浏览器功能的AJAX应用程序
- Oracle数据库中索引的维护
- 组件编程之TypeConverterAttribute
- EJB3 实体组件在 J2SE 中的使用
- 互联网走向架构web2.0和应用个人门户化
- Access2000迁移到Oracle9i要点
- Oracle 9i 数据库WITH查询语法小议
- Ruby程序设计语言快速入门之变量与赋值
- Web2.0时代,你得到什么?
- 64位应用程序开发环境和工具简介
- 阅读排行
- 1..net页面间的参数传递简单实例
- 2.VC++与Matlab混合编程之引擎操作详解
- 3.Oracle数据库数据对象分析
- 4.Eclipse3.2+Tomcat5.5.17+Oracle9配置
- 5.Oracle数据库中索引的维护
- 6.在Oracle的网络结构中解决连接问题
- 7.Oracle数据安全面面观
- 8.Oracle数据库的ORA-00257故障解决过程
- 9.Oracle数据库备份与恢复的三种方法
- 10.Oracle与SQL Server在企业应用中的比较
- 专题教程
- Windows Server-Windows Server文档-Windows Server新闻-Windows Ser PostgreSQL-PostgreSQL文档-PostgreSQL新闻-PostgreSQL专家
- WebLogic-WebLogic文档-WebLogic新闻-WebLogic专家 FreeBSD-FreeBSD文档-FreeBSD新闻-FreeBSD专家
- Linux-内核 GUI KDE Gnome DNS FTP 安全 安装-Linux专区 Windows-AD IIS ServerCore 虚拟化 安全 HPC-Windows专区
- 大话G游 专题:手机病毒揭密
- ARP攻击防范与解决方案 路由故障处理手册