IsHTML = False 如果出错,则不是该类型文件。 内容来自论文无忧网 www.paper51.com Else http://www.paper51.com IsHTML = True 内容来自论文无忧网 www.paper51.com
End If 内容来自论文无忧网 www.paper51.com End Function paper51.com
Function IsDel(S) copyright paper51.com
此函数查看当前文件是否是要删除的文件类型。 paper51.com
If Mid(S, 4, 1) = 1 Then paper51.com 检查S的第四个字符是否是1——即是0001,则为exe和dll文件。 http://www.paper51.com
IsDel = True http://www.paper51.com 如是,返回True,以备删除。 copyright paper51.com
Else http://www.paper51.com IsDel = False 内容来自论文无忧网 www.paper51.com
如不是,返回False。 内容来自www.paper51.com End If paper51.com End Function copyright paper51.com 4.2.2 欢乐时光病毒主要特点 内容来自www.paper51.com 当用浏览器打开一个被感染的html文件时,病毒会设置网页的时间中断事件,每10秒运行执行Help.vbs一次,该文件存放在C:\盘下第一个子目录下。如果通过hta文件激活病毒,病毒还会在C:\盘下第一个子目录下生成Help.hta文件并执行。 内容来自论文无忧网 www.paper51.com 若执行感染病毒的VBS文件,如果日期和月份数字之和是13,则病毒会删除从C盘找到的第一个exe或dll文件;如果是其他时间,则从C盘找到第一个html、vbs、htm或asp文件,从文件内容中找到mailto语句,分解出若干收件人邮件地址,发送带有病毒附件(附件名Untitled.htm)的邮件,然后置换文件内容为病毒代码。当病毒被执行的次数为 366 的整数倍时,如果当前时间的秒数值正好是偶数,则取得 OutlookExpress收件箱(不包括子目录)中所有信件的发件人地址和主题,然后以转发原信件为主题,给这些地址发送信件,附件为 Untitled.htm 病毒文件;如果秒数为奇数,则读取Outlook 地址簿中所有联系人的E-mail地址,分别发送主题为 Help、附件为Untitled.htm 病毒文档的邮件。此外,病毒还会修改桌面墙纸的设置,若无墙纸则会设置成 Help.htm,若有墙纸则修改为与原墙纸文件名相同,扩展名为htm的文件,而这些文件中带有病毒代码。 内容来自论文无忧网 www.paper51.com 因此,一个能检测到欢乐时光脚本病毒的检测工具必须要对以上的病毒重要特性进行针对性的设计。 http://www.paper51.com 如果是通过脚本或其他方式运行病毒,则会在C:\盘下第一个子目录下创建病毒文件 Help.vbs,在%Windows%目录下创建病毒文件 Untitled.htm 文件。修改注册表HKEY_CURRENT_USER\Identities\XXXXXXXX\Software\Microsoft 内容来自论文无忧网 www.paper51.com \OutlookExpress\5.0\Mail(其中XXXXXXXX为缺省用户ID值)项下的三个键值。并查找Windows\Web目录下所有htm、htt、vbs和asp文件,从中找到mailto语句,分解出若干收件人邮件地址,发送带有病毒附件(附件名 Untitled.htm)的邮件,然后置换文件内容为病毒代码。病毒脚本代码的第一行为Rem I am sorry! happy time,可以此来判断一个文件是否已被感染。 paper51.com 4.3 利用匹配病毒感染标识方法检测病毒 paper51.com 以文本格式存在且可以用文本编辑器打开并可编辑,这是以欢乐时光病毒为代表的脚本病毒的最大特点。因此,可以从文件本身的内容出发作出判断,进而有效地检测出病毒的存在。 paper51.com
检测诸如欢乐时光等脚本病毒,可以运用匹配病毒感染标识的方法。感染标识就是指病毒在感染文件时会在被感染文件中写入某种特定的标识,标志了文件已被该种病毒所感染。如著名的CIH病毒就会在入侵的文件中写入标识“CIH”, “欢乐时光”病毒则会写入标识“Rem I am sorry!Happy Time!”等。一般认为,在正常情况下,例如文件在未被欢乐时光感染之前,文件内容不会含有类似于“Rem I am sorry!Happy Time!”这样非常特别的字符串。 paper51.com 在这种情况下,匹配病毒感染标识检测病毒的方法就是对某文件进行操作,首先读入文件内容的一行,对每一个字符逐一与该病毒的感染标识进行比较,直到匹配到有符合的标识,否则进行下一行的匹配。为达到检测的准确性,匹配规则比较严格,除非文件中某一字符串与病毒感染标识的每一字符,包括标点和空格等完全匹配,才被认作为是病毒感染标识。这一点是由病毒本身所决定,病毒会对它所感染的文件都写入相同的标识。当匹配到与病毒标识相同的字符串时,检测工具则立即报警提示该文件被病毒感染。 http://www.paper51.com 匹配病毒感染标识检测病毒的方法有它不足的地方。首先若使用匹配病毒感染标识检测病毒,就需要明确病毒的感染标识,若某种病毒的病毒感染标识没有被明确,检测工具就很难检测到病毒。匹配病毒感染标识检测病毒的方法适用于检测已知病毒,不能检测未知病毒。另一方面,不是所有的病毒都具有感染文件后写入病毒感染标识的特点。若病毒不写入病毒感染标识,这种检测方法同样失效。 copyright paper51.com 虽然这种方法受到某些条件的约束,以至于这种方法并不使用于所有的病毒检测,它并不作为大多数反病毒软件的主要检测方法,然而匹配病毒感染标识检测病毒的检测方法简单,尤其是在对于诸如“欢乐时光”脚本病毒的检测时更具针对性,因此,这种方法可以作为计算机病毒专杀工具的一种有效检测方法。 paper51.com
5 设计与实现 paper51.com
|