9,506
社区成员
发帖
与我相关
我的任务
分享病毒的机制问题
病毒程序有以下几种机制:
1、感染机制。
2、驻留内存机制。
3、网络传播机制。
4、修改WINDOWS系统级的对文件和目录的管理机制。
5、修改WINDOWS系统程序机制。
6、类似于解决兼容性问题的机制。病毒程序当然是尽可能多地感染需要感染的程序。
7、区分WINDOWS系统下各种程序的机制。
8、获得WINDOWS可公开的信息,同时,保护、隐含病毒程序的机制。使得杀毒程序难以起到应有的效果。
9、对病毒生存情况的管理机制。简单的一种,是管理和保存已经感染的文件和目录信息。
10、如何避开变化和发展中的病毒查杀功能。
11、如何保护病毒程序去掩盖感染的过程性信息。
12、保证兼容性感染不同版本的操作系统下的文件及目录系统。
13、病毒发作机制。
14、在查毒时,需要保存现场信息。CONTEXT-SENSITIVE。
15、病毒查杀的历史数据的保存。
16、病毒起效的历史数据的保存。
17、对来自WINDOWS系统的安全补丁的分析。
18、病毒程序对正常可感染性程序的识别。
19、病毒程序的进程调度,和正常程序的进程在WINDOWS下的识别。
20、糊弄WINDOWS各种揭露病毒信息的机制。
21、病毒在某种WINDOWS版本下开发,保留开发平台,等历史信息。
22、动态性:病毒感染和传播的动态模型。例如,可使用UML模型。
23、病毒运行的环境。
24、有些病毒是针对WINDOWS的缺陷,因此病毒程序要有应对WINDOWS通过下载打补丁情况的处理。
25、分析哪些程序打开哪些文件获取数据。
26、CRITICAL RESOURCE,在病毒和反病毒的处理中,有哪些数据或程序,或者目标,或者系统程序,是关键的资源。
27、为了保证病毒获取最新的系统信息,需要保存上下文。
28、病毒程序在各种客户机上,能否保证对资源不对称性的网络特性的分析。
29、如有病毒客户端程序,与病毒控制的服务端程序之间的通信模型。
1、感染机制。
2、驻留内存机制。
3、网络传播机制。
4、修改WINDOWS系统级的对文件和目录的管理机制。
5、修改WINDOWS系统程序机制。
6、类似于解决兼容性问题的机制。病毒程序当然是尽可能多地感染需要感染的程序。
7、区分WINDOWS系统下各种程序的机制。
8、获得WINDOWS可公开的信息,同时,保护、隐含病毒程序的机制。使得杀毒程序难以起到应有的效果。
9、对病毒生存情况的管理机制。简单的一种,是管理和保存已经感染的文件和目录信息。
10、如何避开变化和发展中的病毒查杀功能。
11、如何保护病毒程序去掩盖感染的过程性信息。
12、保证兼容性感染不同版本的操作系统下的文件及目录系统。
13、病毒发作机制。
14、在查毒时,需要保存现场信息。CONTEXT-SENSITIVE。
15、病毒查杀的历史数据的保存。
16、病毒起效的历史数据的保存。
17、对来自WINDOWS系统的安全补丁的分析。
18、病毒程序对正常可感染性程序的识别。
19、病毒程序的进程调度,和正常程序的进程在WINDOWS下的识别。
20、糊弄WINDOWS各种揭露病毒信息的机制。
21、病毒在某种WINDOWS版本下开发,保留开发平台,等历史信息。
22、动态性:病毒感染和传播的动态模型。例如,可使用UML模型。
23、病毒运行的环境。
24、有些病毒是针对WINDOWS的缺陷,因此病毒程序要有应对WINDOWS通过下载打补丁情况的处理。
25、分析哪些程序打开哪些文件获取数据。
26、CRITICAL RESOURCE,在病毒和反病毒的处理中,有哪些数据或程序,或者目标,或者系统程序,是关键的资源。
27、为了保证病毒获取最新的系统信息,需要保存上下文。
28、病毒程序在各种客户机上,能否保证对资源不对称性的网络特性的分析。
29、如有病毒客户端程序,与病毒控制的服务端程序之间的通信模型。
...全文
请发表友善的回复…
发表回复
kelene 2009-03-03
- 打赏
- 举报
撒打开连接飞。。。。
sophy520eangel 2009-03-01
- 打赏
- 举报
设想:一天一个病毒在内存中开辟出了一块属于自己的内存块并制造出了一个内存假像把安全软件愚弄在这个虚拟的假象中............
iou_130925 2009-02-27
- 打赏
- 举报
支持支持支持支持支持支持支持支持支持支持支持支持支持支持支持支持支持支持支
支持支持支持支持支持支持支持支持支持支持支持■■■■■■■■■支持支持支持
支持支持支持支持支持支持支持支■■■■■■■■■■■■■■■■■■支持支持
支持支持支持支持支持支■■■■■■■■■■■■■■■■支持支持支持支持支持
支持支持支持支持■■■■■■■支■■■支持■■■■■支持支持支持支持支持支
支持支■■■■■■■■■■■■支持支持支持■■■■支持支持支持支持支持支持
支■■■■■■■■■■■■■■支持支持支持■■■■支持支持支持支持支持支持
支■■■■■■■■■■■■支持支持支持支■■■■■■■■■■■支持支持支持
支■■■■■■■■■■■■支持支持支持■■■■■■■■■■■■■■支持支持
支持■■■■■■■■■■支持支持支■■■■■■支持支■■■■■■■支持支持
支持支持支持支持■■■■支持支持支■■■■支持支持支持■■■■■支持支持支
支持支持支持支持■■■■支持支持■■■■支持■■支持支■■■■■支持支持支
支持支持支持支持■■■■支持支持■■■■支持■■■■支■■■■■支持支持支
支持支持支持支持■■■■支持支持■■■■支持■■■■支■■■■■支持支持支
支持支持支持支持■■■■支持支持■■■■支持■■■支持■■■■■支持支持支
支持支持支持支持■■■■支持支持■■■■支持■■■支持■■■■■支持支持支
支持支持支持支持■■■■支持支持■■■■支■■■■支持■■■■■支持支持支
支持支持支持支持■■■■支持支持■■■■支■■■■支持■■■■■支持支持支
支持支持支持支持■■■■支持支持■■■■支■■■■支持■■■■■支持支持支
支持支持支持支持■■■■支持支持■■■支持■■■■支持■■■■■支持支持支
支持■■支持支■■■■■支持支持■■■支持■■■支持无■■■■■支持支持支
支持■■■■■■■■■■支持支持支■■支持■■支持支持■■■■■支持支持支
支持支■■■■■■■■■支持支持支持支持■■■支持支持支■■■■支持支持支
支持支持支■■■■■■■支持支持支持支持■■■支■■■■支持支持支持支持支
支持支持支持■■■■■■支持支持支持支■■■■支持■■■■■支持支持支持支
支持支持支持支持支■■■支持支持支持■■■■■支持支■■■■■■■支持支持
支持支持支持支持支持支持支持支持■■■■■■支持支持无■■■■■■支持支持
支持支持支持支持支持支持支持无■■■■■■支持支持支持■■■■■■■支持支
支持支持支持支持支持支持支持■■■■■支持支持支持支持无■■■■■■支持支
支持支持支持支持支持支持支■■■■■支持支持支持支持支持无■■■■支持支持
支持支持支持支持支持支持■■■支持支持支持支持支持支持支持无■■■支持支持
支持支持支持支持支持支持支持支持支持支持支持■■■■■■■■■支持支持支持
支持支持支持支持支持支持支持支■■■■■■■■■■■■■■■■■■支持支持
支持支持支持支持支持支■■■■■■■■■■■■■■■■支持支持支持支持支持
支持支持支持支持■■■■■■■支■■■支持■■■■■支持支持支持支持支持支
支持支■■■■■■■■■■■■支持支持支持■■■■支持支持支持支持支持支持
支■■■■■■■■■■■■■■支持支持支持■■■■支持支持支持支持支持支持
支■■■■■■■■■■■■支持支持支持支■■■■■■■■■■■支持支持支持
支■■■■■■■■■■■■支持支持支持■■■■■■■■■■■■■■支持支持
支持■■■■■■■■■■支持支持支■■■■■■支持支■■■■■■■支持支持
支持支持支持支持■■■■支持支持支■■■■支持支持支持■■■■■支持支持支
支持支持支持支持■■■■支持支持■■■■支持■■支持支■■■■■支持支持支
支持支持支持支持■■■■支持支持■■■■支持■■■■支■■■■■支持支持支
支持支持支持支持■■■■支持支持■■■■支持■■■■支■■■■■支持支持支
支持支持支持支持■■■■支持支持■■■■支持■■■支持■■■■■支持支持支
支持支持支持支持■■■■支持支持■■■■支持■■■支持■■■■■支持支持支
支持支持支持支持■■■■支持支持■■■■支■■■■支持■■■■■支持支持支
支持支持支持支持■■■■支持支持■■■■支■■■■支持■■■■■支持支持支
支持支持支持支持■■■■支持支持■■■■支■■■■支持■■■■■支持支持支
支持支持支持支持■■■■支持支持■■■支持■■■■支持■■■■■支持支持支
支持■■支持支■■■■■支持支持■■■支持■■■支持无■■■■■支持支持支
支持■■■■■■■■■■支持支持支■■支持■■支持支持■■■■■支持支持支
支持支■■■■■■■■■支持支持支持支持■■■支持支持支■■■■支持支持支
支持支持支■■■■■■■支持支持支持支持■■■支■■■■支持支持支持支持支
支持支持支持■■■■■■支持支持支持支■■■■支持■■■■■支持支持支持支
支持支持支持支持支■■■支持支持支持■■■■■支持支■■■■■■■支持支持
支持支持支持支持支持支持支持支持■■■■■■支持支持无■■■■■■支持支持
支持支持支持支持支持支持支持无■■■■■■支持支持支持■■■■■■■支持支
支持支持支持支持支持支持支持■■■■■支持支持支持支持无■■■■■■支持支
支持支持支持支持支持支持支■■■■■支持支持支持支持支持无■■■■支持支持
支持支持支持支持支持支持■■■支持支持支持支持支持支持支持无■■■支持支持
wangbin42 2009-02-27
- 打赏
- 举报
高手呀!非得好好学习下。我顶呀
ftai08 2009-02-06
- 打赏
- 举报
“WINDOWS内存管理”之链接http://www.tianyablog.com/blogger/post_show.asp?BlogID=764655&PostID=7883272
Windows内存管理
内存管理对于编写出高效率的Windows程序是非常重要的,这是因为Windows是多任务系统,它的内存管理和单任务的DOS相比有很大的差异。DOS是单任务操作系统,应用程序分配到内存后,如果它不主动释放,系统是不会对它作任何改变的;但Windows却不然,它在同一时刻可能有多个应用程序共享内存,有时为了使某个任务更好地执行,Windows系统可能会对其它任务分配的内存进行移动,甚至删除。因此,我们在Windows应用程序中使用内存时,要遵循Windows内存管理的一些约定,以尽量提高Windows内存的利用率。
Windows内存对象
Windows应用程序可以申请分配属于自己的内存块,内存块是应用程序操作内存的单位,它也称作内存对象,在Windows中通过内存句柄来操作内存对象。内存对象根据分配的范围可分为全局内存对象和局部内存对象;根据性质可分为固定内存对象,可移动内存对象和可删除内存对象。
固定内存对象,特别是局部固定内存对象和DOS的内存块很类似,它一旦分配,就不会被移动或删除,除非应用程序主动释放它。并且对于局部固定内存对象来说,它的内存句柄本身就是内存对象的16位近地址,可供应用程序直接存取,而不必象其它类型的内存对象那样要通过锁定在内存某固定地址后才能使用。
可移动内存对象没有固定的地址,Windows系统可以随时把它们移到一个新地址。内存对象的可移动使得Windows能有效地利用自由内存。例如,如果一个可移动的内存对象分开了两个自由内存对象,Windows可以把可移动内存对象移走,将两个自由内存对象合并为一个大的自由内存对象,实现内存的合并与碎片回收。
可删除内存对象与可移动内存对象很相似,它可以被Windows移动,并且当Windows需要大的内存空间满足新的任务时,它可以将可删除内存对象的长度置为0,丢弃内存对象中的数据。
可移动内存对象和可删除内存对象在存取前必须使用内存加锁函数将其锁定,锁定了的内存对象不能被移动和删除。因此,应用程序在使用完内存对象后要尽可能快地为内存对象解锁。内存需要加锁和解锁增加了程序员的负担,但是它却极大地改善了Windows内存利用的效率,因此Windows鼓励使用可移动和可删除的内存对象,并且要求应用程序在非必要时不要使用固定内存对象。
不同类型的对象在它所处的内存堆中的位置是不一样的,图6.2说明内存对象在堆中的位置:固定对象位于堆的底部;可移动对象位于固定对象之上;可删除对象从堆的顶部开始分配。
图6.1 内存对象分配位置示意图
6.1.2 局部内存对象管理
局部内存对象在局部堆中分配,局部堆是应用程序独享的自由内存,它只能由应用程序的特定实例访问。局部堆建立在应用程序的数据段中,因此,用户可分配的局部内存对象的最大内存空间不能超过64K。局部堆由Windows应用程序在模块定义文件中用HEAPSIZE语句申请,HEAPSIZE指定以字节为单位的局部堆初始空间尺寸。Windows提供了一系列函数来操作局部内存对象。
6.1.2.1 分配局部内存对象
LocalAlloc函数用来分配局部内存,它在应用程序局部堆中分配一个内存块,并返回内存块的句柄。LocalAlloc函数可以指定内存对象的大小和特性,其中主要特性有固定的(LMEM_FIXED),可移动的(LMEM_MOVEABLE)和可删除的(LMEM_DISCARDABLE)。如果局部堆中无法分配申请的内存,则LocalAlloc函数返回NULL。下面的代码用来分配一个固定内存对象,因为局部固定内存对象的对象句柄其本身就是16位内存近地址,因此它可以被应用程序直接存取。代码如下:
char NEAR * pcLocalObject;
if (pcLocalObject = LocalAlloc(LMEM_FIXED, 32)) {
/* Use pcLocalObject as the near address of the Locally allocated object, It is not necessary to lock
and unlock the fixed local object */
.…..
}
else {
/* The 32 bytes cannot be allocated .React accordingly. */
}
6.1.2.2 加锁与解锁
上面程序段分配的固定局部内存对象可以由应用程序直接存取,但是,Windows并不鼓励使用固定内存对象。因此,在使用可移动和可删除内存对象时,就要经常用到对内存对象的加锁与解锁。
不管是可移动对象还是可删除对象,在它分配后其内存句柄是不变的,它是内存对象的恒定引用。但是,应用程序无法通过内存句柄直接存取内存对象,应用程序要存取内存对象还必须获得它的近地址,这通过调用LocalLock函数实现。LocalLock函数将局部内存对象暂时固定在局部堆的某一位置,并返回该地址的近地址值,此地址可供应用程序存取内存对象使用,它在应用程序调用 LocalUnlock函数解锁此内存对象之前有效。怎样加锁与解锁可移动内存对象,请看如下代码:
HLOCAL hLocalObject;
char NEAR *pcLocalObject;
if (hLocalObject = LocalAlloc(LMEM_MOVEABLE, 32)) {
if (pcLocalObject = LocalLock(hLocalObject)) {
/*Use pcLocalObject as the near address of the locally allocated object */
.…..
LocalUnlock(hLocalObject);
}
else {
/* The lock failed. React accordingly. */
}
}
else {
/* The 32 bytes cannot be allocated. React accordingly. */
}
应用程序在使用完内存对象后,要尽可能早地为它解锁,这是因为Windows无法移动被锁住了的内存对象。当应用程序要分配其它内存时,Windows不能利用被锁住对象的区域,只能在它周围寻找,这会降低Windows内存管理的效率。
Windows内存管理
内存管理对于编写出高效率的Windows程序是非常重要的,这是因为Windows是多任务系统,它的内存管理和单任务的DOS相比有很大的差异。DOS是单任务操作系统,应用程序分配到内存后,如果它不主动释放,系统是不会对它作任何改变的;但Windows却不然,它在同一时刻可能有多个应用程序共享内存,有时为了使某个任务更好地执行,Windows系统可能会对其它任务分配的内存进行移动,甚至删除。因此,我们在Windows应用程序中使用内存时,要遵循Windows内存管理的一些约定,以尽量提高Windows内存的利用率。
Windows内存对象
Windows应用程序可以申请分配属于自己的内存块,内存块是应用程序操作内存的单位,它也称作内存对象,在Windows中通过内存句柄来操作内存对象。内存对象根据分配的范围可分为全局内存对象和局部内存对象;根据性质可分为固定内存对象,可移动内存对象和可删除内存对象。
固定内存对象,特别是局部固定内存对象和DOS的内存块很类似,它一旦分配,就不会被移动或删除,除非应用程序主动释放它。并且对于局部固定内存对象来说,它的内存句柄本身就是内存对象的16位近地址,可供应用程序直接存取,而不必象其它类型的内存对象那样要通过锁定在内存某固定地址后才能使用。
可移动内存对象没有固定的地址,Windows系统可以随时把它们移到一个新地址。内存对象的可移动使得Windows能有效地利用自由内存。例如,如果一个可移动的内存对象分开了两个自由内存对象,Windows可以把可移动内存对象移走,将两个自由内存对象合并为一个大的自由内存对象,实现内存的合并与碎片回收。
可删除内存对象与可移动内存对象很相似,它可以被Windows移动,并且当Windows需要大的内存空间满足新的任务时,它可以将可删除内存对象的长度置为0,丢弃内存对象中的数据。
可移动内存对象和可删除内存对象在存取前必须使用内存加锁函数将其锁定,锁定了的内存对象不能被移动和删除。因此,应用程序在使用完内存对象后要尽可能快地为内存对象解锁。内存需要加锁和解锁增加了程序员的负担,但是它却极大地改善了Windows内存利用的效率,因此Windows鼓励使用可移动和可删除的内存对象,并且要求应用程序在非必要时不要使用固定内存对象。
不同类型的对象在它所处的内存堆中的位置是不一样的,图6.2说明内存对象在堆中的位置:固定对象位于堆的底部;可移动对象位于固定对象之上;可删除对象从堆的顶部开始分配。
图6.1 内存对象分配位置示意图
6.1.2 局部内存对象管理
局部内存对象在局部堆中分配,局部堆是应用程序独享的自由内存,它只能由应用程序的特定实例访问。局部堆建立在应用程序的数据段中,因此,用户可分配的局部内存对象的最大内存空间不能超过64K。局部堆由Windows应用程序在模块定义文件中用HEAPSIZE语句申请,HEAPSIZE指定以字节为单位的局部堆初始空间尺寸。Windows提供了一系列函数来操作局部内存对象。
6.1.2.1 分配局部内存对象
LocalAlloc函数用来分配局部内存,它在应用程序局部堆中分配一个内存块,并返回内存块的句柄。LocalAlloc函数可以指定内存对象的大小和特性,其中主要特性有固定的(LMEM_FIXED),可移动的(LMEM_MOVEABLE)和可删除的(LMEM_DISCARDABLE)。如果局部堆中无法分配申请的内存,则LocalAlloc函数返回NULL。下面的代码用来分配一个固定内存对象,因为局部固定内存对象的对象句柄其本身就是16位内存近地址,因此它可以被应用程序直接存取。代码如下:
char NEAR * pcLocalObject;
if (pcLocalObject = LocalAlloc(LMEM_FIXED, 32)) {
/* Use pcLocalObject as the near address of the Locally allocated object, It is not necessary to lock
and unlock the fixed local object */
.…..
}
else {
/* The 32 bytes cannot be allocated .React accordingly. */
}
6.1.2.2 加锁与解锁
上面程序段分配的固定局部内存对象可以由应用程序直接存取,但是,Windows并不鼓励使用固定内存对象。因此,在使用可移动和可删除内存对象时,就要经常用到对内存对象的加锁与解锁。
不管是可移动对象还是可删除对象,在它分配后其内存句柄是不变的,它是内存对象的恒定引用。但是,应用程序无法通过内存句柄直接存取内存对象,应用程序要存取内存对象还必须获得它的近地址,这通过调用LocalLock函数实现。LocalLock函数将局部内存对象暂时固定在局部堆的某一位置,并返回该地址的近地址值,此地址可供应用程序存取内存对象使用,它在应用程序调用 LocalUnlock函数解锁此内存对象之前有效。怎样加锁与解锁可移动内存对象,请看如下代码:
HLOCAL hLocalObject;
char NEAR *pcLocalObject;
if (hLocalObject = LocalAlloc(LMEM_MOVEABLE, 32)) {
if (pcLocalObject = LocalLock(hLocalObject)) {
/*Use pcLocalObject as the near address of the locally allocated object */
.…..
LocalUnlock(hLocalObject);
}
else {
/* The lock failed. React accordingly. */
}
}
else {
/* The 32 bytes cannot be allocated. React accordingly. */
}
应用程序在使用完内存对象后,要尽可能早地为它解锁,这是因为Windows无法移动被锁住了的内存对象。当应用程序要分配其它内存时,Windows不能利用被锁住对象的区域,只能在它周围寻找,这会降低Windows内存管理的效率。
ftai08 2009-02-06
- 打赏
- 举报
(5)RTOS中,内存地址和设备之间,具有一一对应的关系。读和写相关的存储地址,就是驱动相应的智能外部设备。
(6)WINDOWS中的存储管理,包括虚拟存储器技术,SWAP(交换到外存,此处运行速度平均要比内存慢一个数量级),最快的CACHE,它似乎可以按照特定的算法,加在硬件形式的CACHE上。
存储管理在处理内存和CACHE,虚存(一般指磁盘驱动器中的内容),具有不同的机制。
比如,某个可执行程序名为P1.EXE,可能是一次性将可执行二进制代码读进某个MMB所管理和控制的内存中。
也可能是一部分在硬盘上,一些在内存中,一部分频繁地SWAP进出CACHE中。
(7)WINDOWS的MMB,一个主要目标,是要将CPU需要实时运行的二进制代码,在较高的命中率(HIT RATE)下,读进CACHE,然后进行类似于RTOS的指令处理过程:取指、分析、预处理、译码、执行。
当然,它不再是如RTOS那样简单。一个重要的情况,由于MMB的功能强大,具有扩充和设备兼容的能力。
(8)操作系统中的虚拟机问题。
1-应用程序虚拟机。所谓虚拟机,就是当程序员编程看到的、可以运用编程的计算能力,只包括该虚拟机提供的计算机制,编程实现。
2-操作系统虚拟机。
3-汇编语言虚拟机。
4-机器语言虚拟机。
5-微程序和毫微程序虚拟机。
6-寄存器传输级虚拟机。
7-硬件级虚拟机。
(6)WINDOWS中的存储管理,包括虚拟存储器技术,SWAP(交换到外存,此处运行速度平均要比内存慢一个数量级),最快的CACHE,它似乎可以按照特定的算法,加在硬件形式的CACHE上。
存储管理在处理内存和CACHE,虚存(一般指磁盘驱动器中的内容),具有不同的机制。
比如,某个可执行程序名为P1.EXE,可能是一次性将可执行二进制代码读进某个MMB所管理和控制的内存中。
也可能是一部分在硬盘上,一些在内存中,一部分频繁地SWAP进出CACHE中。
(7)WINDOWS的MMB,一个主要目标,是要将CPU需要实时运行的二进制代码,在较高的命中率(HIT RATE)下,读进CACHE,然后进行类似于RTOS的指令处理过程:取指、分析、预处理、译码、执行。
当然,它不再是如RTOS那样简单。一个重要的情况,由于MMB的功能强大,具有扩充和设备兼容的能力。
(8)操作系统中的虚拟机问题。
1-应用程序虚拟机。所谓虚拟机,就是当程序员编程看到的、可以运用编程的计算能力,只包括该虚拟机提供的计算机制,编程实现。
2-操作系统虚拟机。
3-汇编语言虚拟机。
4-机器语言虚拟机。
5-微程序和毫微程序虚拟机。
6-寄存器传输级虚拟机。
7-硬件级虚拟机。
ftai08 2009-02-06
- 打赏
- 举报
30、病毒进程控制的内存。是否和WINDOWS以前的版本一样,只要系统有病毒,就会被病毒控制住一些关键资源,如内存。
31、病毒控制的内存的用途、特点。
32、被病毒控制的系统和未感染的系统的比较,要采取哪些人工的处理,和哪些自动的处理。
33、或者说,病毒所依赖、所承载的平台。
=========================================================================================
30、
(1)比较RTOS,尤其是汇编语言,每条程序分为操作符OPERATOR,操作数OPERAND。
当PC(PROGRAM COUNTER)程序指针 指向某条EPROM中的语句的地址时,对操作进行取指、分析、预处理、译码执行。
所谓译码执行,就是把EPROM中存放的二进制代码译码,启动相应的机制的硬件,执行的结果,存放在如MCS-51所示的一些SFR(SPECIAL FUNCTION REGISTER,特殊功能寄存器中。这些SFR中的一些单元块,亦被称之为内存。
(2)核心态和用户态。
就是有些指令是需要特权的。
有些内存的访问,只能被特殊的指令实现。要访问这些核心态控制的内存,需要按权限的有无,通过特定的API来实现,或者调用某些DLL文件(DINAMIC LINK LIBRARY,动态链接库)和EXE文件二进制化的代码段来实现。
(3)上面的RTOS的主要部分,是不包含MMB(存储管理机制)的。
(4)原PC机的DOS的程序,可以通过DEBUG,PCTOOLS等一些工具软件和工具程序,直接修改内存中的相关DOS内部命令和外部命令的二进制代码段。
例如,可以用DEBUG去修改COMMAND命令所在内存块。
31、病毒控制的内存的用途、特点。
32、被病毒控制的系统和未感染的系统的比较,要采取哪些人工的处理,和哪些自动的处理。
33、或者说,病毒所依赖、所承载的平台。
=========================================================================================
30、
(1)比较RTOS,尤其是汇编语言,每条程序分为操作符OPERATOR,操作数OPERAND。
当PC(PROGRAM COUNTER)程序指针 指向某条EPROM中的语句的地址时,对操作进行取指、分析、预处理、译码执行。
所谓译码执行,就是把EPROM中存放的二进制代码译码,启动相应的机制的硬件,执行的结果,存放在如MCS-51所示的一些SFR(SPECIAL FUNCTION REGISTER,特殊功能寄存器中。这些SFR中的一些单元块,亦被称之为内存。
(2)核心态和用户态。
就是有些指令是需要特权的。
有些内存的访问,只能被特殊的指令实现。要访问这些核心态控制的内存,需要按权限的有无,通过特定的API来实现,或者调用某些DLL文件(DINAMIC LINK LIBRARY,动态链接库)和EXE文件二进制化的代码段来实现。
(3)上面的RTOS的主要部分,是不包含MMB(存储管理机制)的。
(4)原PC机的DOS的程序,可以通过DEBUG,PCTOOLS等一些工具软件和工具程序,直接修改内存中的相关DOS内部命令和外部命令的二进制代码段。
例如,可以用DEBUG去修改COMMAND命令所在内存块。
bk7477890 2009-02-06
- 打赏
- 举报
很好很强大,学习了
ftai08 2009-01-18
- 打赏
- 举报
26、CRITICAL RESOURCE,在病毒和反病毒的处理中,有哪些数据或程序,或者目标,或者系统程序,是关键的资源。
27、为了保证病毒获取最新的系统信息,需要保存上下文。
28、病毒程序在各种客户机上,能否保证对资源不对称性的网络特性的分析。
29、如有病毒客户端程序,与病毒控制的服务端程序之间的通信模型。
========================================================
26、CRITICAL RESOURCE,在病毒和反病毒的处理中,有哪些数据或程序,或者目标,或者系统程序,是关键的资源。
(1)内存区域的不同划分。内存的管理,内存数据的研究,是明显的关键资源。
(2)WINDOWS是如何把程序模块调入内存,又是如何管理的。
(3)如何管理文件系统的。
(4)如何管理进程的。如何启动进程机制、线程机制的。
27、为了保证病毒获取最新的系统信息,需要保存上下文。
(1)上下文的相关性。
(2)控制面板中对WINDOWS系统资源的管理是如何实现的。
(3)没有孤立的上下文。
(4)病毒程序是存在于各种不同的上下文的。
28、病毒程序在各种客户机上,能否保证对资源不对称性的网络特性的分析。
(1) 网络设计的一个原因,就在各种客户机、服务器拥有资源的不对称性。
(2)病毒需要尽可能多地收集足够多的系统资源信息。
(3)如何读写修改传输这些资源。
(4)因为服务器S1拥有资源R1,所以病毒程序需要对它们进行分析。
从而对系统环境有更深入的掌控。
29、如有病毒客户端程序,与病毒控制的服务端程序之间的通信模型。
(1)模型相关理论,见下面。
模型总体上来说,是个比较虚拟的概念。
有一些要素:1、问题领域,问题空间,2、目标领域,目标空间,3、领域转换的多因素算法,4、模型模拟过程,5、模型分析、建立和测试、评价过程,6、模型所处的系统平台、软硬件平台,7、抽象的理论和指导思想,8、模型的调整和自适应,9、原问题的逐步逼近,10、图形图像的建模方法,11,模型的表示、图形表示。12、基于计算机进行数值、数据、信号处理。
(2)病毒程序可以同时划分为客户端和服务器端。
(3)没有网络机制(包括感染和传播机制)的病毒程序系统,应该是很少见的。
(4)它们之间有一定的通信协议设计。
(5)服务器性质的病毒程序模块,会控制客户端性质的病毒程序模块。
服务器性质的病毒程序模块会收集来自各种网络的数据。
27、为了保证病毒获取最新的系统信息,需要保存上下文。
28、病毒程序在各种客户机上,能否保证对资源不对称性的网络特性的分析。
29、如有病毒客户端程序,与病毒控制的服务端程序之间的通信模型。
========================================================
26、CRITICAL RESOURCE,在病毒和反病毒的处理中,有哪些数据或程序,或者目标,或者系统程序,是关键的资源。
(1)内存区域的不同划分。内存的管理,内存数据的研究,是明显的关键资源。
(2)WINDOWS是如何把程序模块调入内存,又是如何管理的。
(3)如何管理文件系统的。
(4)如何管理进程的。如何启动进程机制、线程机制的。
27、为了保证病毒获取最新的系统信息,需要保存上下文。
(1)上下文的相关性。
(2)控制面板中对WINDOWS系统资源的管理是如何实现的。
(3)没有孤立的上下文。
(4)病毒程序是存在于各种不同的上下文的。
28、病毒程序在各种客户机上,能否保证对资源不对称性的网络特性的分析。
(1) 网络设计的一个原因,就在各种客户机、服务器拥有资源的不对称性。
(2)病毒需要尽可能多地收集足够多的系统资源信息。
(3)如何读写修改传输这些资源。
(4)因为服务器S1拥有资源R1,所以病毒程序需要对它们进行分析。
从而对系统环境有更深入的掌控。
29、如有病毒客户端程序,与病毒控制的服务端程序之间的通信模型。
(1)模型相关理论,见下面。
模型总体上来说,是个比较虚拟的概念。
有一些要素:1、问题领域,问题空间,2、目标领域,目标空间,3、领域转换的多因素算法,4、模型模拟过程,5、模型分析、建立和测试、评价过程,6、模型所处的系统平台、软硬件平台,7、抽象的理论和指导思想,8、模型的调整和自适应,9、原问题的逐步逼近,10、图形图像的建模方法,11,模型的表示、图形表示。12、基于计算机进行数值、数据、信号处理。
(2)病毒程序可以同时划分为客户端和服务器端。
(3)没有网络机制(包括感染和传播机制)的病毒程序系统,应该是很少见的。
(4)它们之间有一定的通信协议设计。
(5)服务器性质的病毒程序模块,会控制客户端性质的病毒程序模块。
服务器性质的病毒程序模块会收集来自各种网络的数据。
GGJJyangjinhan 2009-01-17
- 打赏
- 举报
还有长住内存的病毒
bebetter10 2009-01-17
- 打赏
- 举报
这是干吗啊?搞了这么长
ftai08 2009-01-15
- 打赏
- 举报
21、病毒在某种WINDOWS版本下开发,保留开发平台,等历史信息。
22、动态性:病毒感染和传播的动态模型。例如,可使用UML模型。
23、病毒运行的环境。
24、有些病毒是针对WINDOWS的缺陷,因此病毒程序要有应对WINDOWS通过下载打补丁情况的处理。
25、分析哪些程序打开哪些文件获取数据。
=============================================================================================
21、病毒在某种WINDOWS版本下开发,保留开发平台,等历史信息。
(1)编写病毒程序需要清楚WINDOWS操作系统的组成、体系结构。
(2)病毒程序和WINDOWS的版本有相关性。
(3)有些病毒程序分类,就有感染操作系统病毒一类。
(4)相对于WINDOWS操作系统的病毒的新旧一说。
(5)虽然,在某种WINDOWS版本下病毒能完全起效,但并不是有一种病毒能够寄存在所有的WINDOWS操作系统版本之下。
(6)病毒程序和WINDOWS操作系统的归并机制很强,或者换种说法吧:“它们的一致和一体化机制很强”,甚至,病毒程序可以很轻易掌控系统内核的机制。
22、动态性:病毒感染和传播的动态模型。例如,可使用UML模型。
(1)病毒程序(或者包)和WINDOWS操作系统都有程序来“读写”数据。它们都具有计算智能。
(2)上述程序都是可以在某种场合下,启动运行的。
(3)WINDOWS操作系统一启动,就会有许多程序被FORK,生成相应的进程和线程。
(4)相比于嵌入式系统,或者单片机系统,系统是这样“开工”的:
·一般都从地址0000H处开始运行。这里一般是一条长跳转指令。
··有的在1024字节之前,会有中断向量。它们是对于中断、陷阱、故障服务程序的地址。
也就是,如果PC(PROGRAM COUNTER,指令计数器,地址)的值为这中间的一个值,就会转而执行相应的中断程序。
···一般指令有取指、分析、译码、执行等几个过程。
····程序数据存储在专用的EPROM存储器中。它们根据PC指向何处而执行具体的代码。
·····然后,主程序一般是一个主循环。遇到中断或者陷阱,RTOS(REAL TIME OS)才会跳去中断服务程序执行。
······执行完中断程序之后,再把执行权归还给主程序。
(5)一般来说,操作系统要管理许多资源(例如,文件,存储器,CPU,时间片,作业,进程……),对这些资源是要动态利用的。
RTOS需要由程序员、高级程序员确定具体的内存地址范围。
每个子程序控制具体的一段具体的内存区域。
(6)而在WINDOWS 5左右的时候,就对存储器管理机制进行了异于早期版本的优化。这样,许多程序的设计,就把内存的管理交给操作系统去处理。
23、病毒程序运行的环境。
(1)通用的操作系统的支持。哪些病毒程序在此大环境运行和启动时,会导致整个病毒感染作业开始发动,哪怕只是部分完成。
(2)操作系统对例外的处理。
(3)病毒程序耗费的资源,以及资源管理的静态和动态模型。或者另有一种说法,是正常程序运行中注入BEAM了病毒代码,和病毒代码结为一体。
24、有些病毒是针对WINDOWS的缺陷,因此病毒程序要有应对WINDOWS通过下载打补丁情况的处理。
(1)试想象一下,病毒程序打的是有利于病毒方面的补丁。
(2)比较一下,打补丁和感染病毒的不同:
前者是正常的升级维护、在线维护(不离开WINDOWS操作系统的运行状态)、改造维护。
后者是改变原正常系统的各种可能的程序执行效果。
前者基本上是在正常的程序框架下运行。是一个框架下的内容。有非常友好的对操作系统修改的画面帮助。而不是无区分的对程序文件的篡改。
(3)WINDOWS是由许多内部机制组成,病毒的分析人员、设计人员必须对此操作系统有尽可能多的理解。也就是说,至少会有反向测试其体系结构、组织的问题。
25、分析哪些程序打开哪些文件获取数据。
(1)执行程序是否、怎样打开哪些文件运行。其结果储存在哪些文件和目录中,这里,包括逻辑的和物理的存储区域。
其中,存储管理机制一般是完全由WINDOWS操作系统来完成的。
(2)有一个特点要提醒:和WINDOWS结合越紧密,对WINDOWS内部机制越掌控,就会越和这一版本的WINDOWS系统纠缠不清,从而导致对后续版本的不兼容。
(3)即使是这样,对因为WINDOWS操作系统而导致病毒程序、失控,都是需要花费时间研究的。
(4)可以说,对WINDOWS操作系统了解得越多,就会有越多的内核、控制信息被误用和滥用。
(5)同根源于启动和文件方面的病毒程序一样,有相当大的一类病毒程序,是通过仔细试探WINDOWS,挖掘其缺陷,而实现的。也就是说,
对操作系统了解越深,可供归并到病毒程序机制中的可能性就大。
22、动态性:病毒感染和传播的动态模型。例如,可使用UML模型。
23、病毒运行的环境。
24、有些病毒是针对WINDOWS的缺陷,因此病毒程序要有应对WINDOWS通过下载打补丁情况的处理。
25、分析哪些程序打开哪些文件获取数据。
=============================================================================================
21、病毒在某种WINDOWS版本下开发,保留开发平台,等历史信息。
(1)编写病毒程序需要清楚WINDOWS操作系统的组成、体系结构。
(2)病毒程序和WINDOWS的版本有相关性。
(3)有些病毒程序分类,就有感染操作系统病毒一类。
(4)相对于WINDOWS操作系统的病毒的新旧一说。
(5)虽然,在某种WINDOWS版本下病毒能完全起效,但并不是有一种病毒能够寄存在所有的WINDOWS操作系统版本之下。
(6)病毒程序和WINDOWS操作系统的归并机制很强,或者换种说法吧:“它们的一致和一体化机制很强”,甚至,病毒程序可以很轻易掌控系统内核的机制。
22、动态性:病毒感染和传播的动态模型。例如,可使用UML模型。
(1)病毒程序(或者包)和WINDOWS操作系统都有程序来“读写”数据。它们都具有计算智能。
(2)上述程序都是可以在某种场合下,启动运行的。
(3)WINDOWS操作系统一启动,就会有许多程序被FORK,生成相应的进程和线程。
(4)相比于嵌入式系统,或者单片机系统,系统是这样“开工”的:
·一般都从地址0000H处开始运行。这里一般是一条长跳转指令。
··有的在1024字节之前,会有中断向量。它们是对于中断、陷阱、故障服务程序的地址。
也就是,如果PC(PROGRAM COUNTER,指令计数器,地址)的值为这中间的一个值,就会转而执行相应的中断程序。
···一般指令有取指、分析、译码、执行等几个过程。
····程序数据存储在专用的EPROM存储器中。它们根据PC指向何处而执行具体的代码。
·····然后,主程序一般是一个主循环。遇到中断或者陷阱,RTOS(REAL TIME OS)才会跳去中断服务程序执行。
······执行完中断程序之后,再把执行权归还给主程序。
(5)一般来说,操作系统要管理许多资源(例如,文件,存储器,CPU,时间片,作业,进程……),对这些资源是要动态利用的。
RTOS需要由程序员、高级程序员确定具体的内存地址范围。
每个子程序控制具体的一段具体的内存区域。
(6)而在WINDOWS 5左右的时候,就对存储器管理机制进行了异于早期版本的优化。这样,许多程序的设计,就把内存的管理交给操作系统去处理。
23、病毒程序运行的环境。
(1)通用的操作系统的支持。哪些病毒程序在此大环境运行和启动时,会导致整个病毒感染作业开始发动,哪怕只是部分完成。
(2)操作系统对例外的处理。
(3)病毒程序耗费的资源,以及资源管理的静态和动态模型。或者另有一种说法,是正常程序运行中注入BEAM了病毒代码,和病毒代码结为一体。
24、有些病毒是针对WINDOWS的缺陷,因此病毒程序要有应对WINDOWS通过下载打补丁情况的处理。
(1)试想象一下,病毒程序打的是有利于病毒方面的补丁。
(2)比较一下,打补丁和感染病毒的不同:
前者是正常的升级维护、在线维护(不离开WINDOWS操作系统的运行状态)、改造维护。
后者是改变原正常系统的各种可能的程序执行效果。
前者基本上是在正常的程序框架下运行。是一个框架下的内容。有非常友好的对操作系统修改的画面帮助。而不是无区分的对程序文件的篡改。
(3)WINDOWS是由许多内部机制组成,病毒的分析人员、设计人员必须对此操作系统有尽可能多的理解。也就是说,至少会有反向测试其体系结构、组织的问题。
25、分析哪些程序打开哪些文件获取数据。
(1)执行程序是否、怎样打开哪些文件运行。其结果储存在哪些文件和目录中,这里,包括逻辑的和物理的存储区域。
其中,存储管理机制一般是完全由WINDOWS操作系统来完成的。
(2)有一个特点要提醒:和WINDOWS结合越紧密,对WINDOWS内部机制越掌控,就会越和这一版本的WINDOWS系统纠缠不清,从而导致对后续版本的不兼容。
(3)即使是这样,对因为WINDOWS操作系统而导致病毒程序、失控,都是需要花费时间研究的。
(4)可以说,对WINDOWS操作系统了解得越多,就会有越多的内核、控制信息被误用和滥用。
(5)同根源于启动和文件方面的病毒程序一样,有相当大的一类病毒程序,是通过仔细试探WINDOWS,挖掘其缺陷,而实现的。也就是说,
对操作系统了解越深,可供归并到病毒程序机制中的可能性就大。
ftai08 2009-01-14
- 打赏
- 举报
17、对来自WINDOWS系统的安全补丁的分析。
18、病毒程序对正常可感染性程序的识别。
19、病毒程序的进程调度,和正常程序的进程在WINDOWS下的识别。
20、糊弄WINDOWS各种揭露病毒信息的机制。
----------------------------------------------------
17、对来自WINDOWS系统的安全补丁的分析。
(1)有多种病毒是针对有缺陷DEFECT的WINDOWS系统环境的。
(2)WINDOWS会对这些缺陷打补丁。
(3)为了保持病毒的可持久性,需要对WINDOWS的打补丁理论体系,和对现实系统的适应性,进行分析。这样,既利用了WINDOWS的缺陷,又有当缺陷被在某种理论下修补后的系统,有持久保留在WINDOWS系统环境下的可能。
18、病毒程序对正常可感染性程序的识别。
(1)一般来说,病毒机制中,不会对已经感染的程序、模块重复感染。
(2)病毒机制是如何确定某正常程序已经感染的。
(3)病毒机制是否跟进整个系统的感染信息,是以什么文件格式设计的。
19、病毒程序的进程调度,和正常程序的进程在WINDOWS下的识别。
(1)病毒程序和正常程序,其主要相同点,就是对数据的输入、处理、输出。也就是具有计算智能。
(2)它们通常是监控、读写、修改、删除包括内存在内的系统环境。
(3)人工和编程自动地识别病毒程序。
(4)病毒程序的进程的PCB,线程体系结构。
(5)一般的正常程序,是不会去修改其它的正常程序的。
(6)对WINDOWS系统的感染,是一种异常的处理程序的机制。
20、糊弄WINDOWS各种揭露病毒信息的机制。
(1)WINDOWS是否有辅助病毒查杀的机制。
(2)WINDOWS系统级的程序和模块处理,其信息保存的机制,保存的逻辑位置和物理位置。逻辑位置和物理位置的相互对应关系。
(3)例如有专门子系统处理从逻辑位置到物理位置的转换。
18、病毒程序对正常可感染性程序的识别。
19、病毒程序的进程调度,和正常程序的进程在WINDOWS下的识别。
20、糊弄WINDOWS各种揭露病毒信息的机制。
----------------------------------------------------
17、对来自WINDOWS系统的安全补丁的分析。
(1)有多种病毒是针对有缺陷DEFECT的WINDOWS系统环境的。
(2)WINDOWS会对这些缺陷打补丁。
(3)为了保持病毒的可持久性,需要对WINDOWS的打补丁理论体系,和对现实系统的适应性,进行分析。这样,既利用了WINDOWS的缺陷,又有当缺陷被在某种理论下修补后的系统,有持久保留在WINDOWS系统环境下的可能。
18、病毒程序对正常可感染性程序的识别。
(1)一般来说,病毒机制中,不会对已经感染的程序、模块重复感染。
(2)病毒机制是如何确定某正常程序已经感染的。
(3)病毒机制是否跟进整个系统的感染信息,是以什么文件格式设计的。
19、病毒程序的进程调度,和正常程序的进程在WINDOWS下的识别。
(1)病毒程序和正常程序,其主要相同点,就是对数据的输入、处理、输出。也就是具有计算智能。
(2)它们通常是监控、读写、修改、删除包括内存在内的系统环境。
(3)人工和编程自动地识别病毒程序。
(4)病毒程序的进程的PCB,线程体系结构。
(5)一般的正常程序,是不会去修改其它的正常程序的。
(6)对WINDOWS系统的感染,是一种异常的处理程序的机制。
20、糊弄WINDOWS各种揭露病毒信息的机制。
(1)WINDOWS是否有辅助病毒查杀的机制。
(2)WINDOWS系统级的程序和模块处理,其信息保存的机制,保存的逻辑位置和物理位置。逻辑位置和物理位置的相互对应关系。
(3)例如有专门子系统处理从逻辑位置到物理位置的转换。
ftai08 2009-01-14
- 打赏
- 举报
13、病毒发作机制。
14、在查毒时,需要保存现场信息。CONTEXT-SENSITIVE。
======================================================================
13、病毒发作机制。
(1)一般指会导致系统CRASH崩溃的机制。
(2)根据什么情况(或者是复杂的组合情况)发作,发作时出现的系统异常,发作过程完毕后,系统出现哪些不正常。
(3)如何编程实现系统的自查(是否发作)。
(4)发作需要的辅助平台信息。
(5)发作的危害性,是有差异的、有等级的,例如,有时仅是简单的报错,或者系统程序和应用程序异常退出。
(6)发作的危害性的定量识别。
(7)是否发作环境为复杂、不同的网络环境。
(8)发作的各进程之间的协同。是否划分出不同优先级的感染环境。
(9)发作时,会控制哪些资源。逻辑上的划分,和物理上的划分。
14、在查毒时,需要保存现场信息。CONTEXT-SENSITIVE。
(1)目的是还原病毒发作时的操作系统环境,以便后续的对病毒的分析。
(2)确定病毒的发作条件。
(3)对不同的系统环境,有不同的发作效果。
(4)病毒发作是否有如在图形图像方面的显示效果。例如,DOS系统下的1575病毒发作时,会有一条“虫子”将屏幕的文字“吃掉”。
(5)现场信息的定性。
(6)现场信息的定量。
(7)现场信息的辅助处理。
(8)自动根据现场信息,复原出原先安全的系统。
(9)从人类处理证据的方法,可以简单地推出上述的内容。
14、在查毒时,需要保存现场信息。CONTEXT-SENSITIVE。
======================================================================
13、病毒发作机制。
(1)一般指会导致系统CRASH崩溃的机制。
(2)根据什么情况(或者是复杂的组合情况)发作,发作时出现的系统异常,发作过程完毕后,系统出现哪些不正常。
(3)如何编程实现系统的自查(是否发作)。
(4)发作需要的辅助平台信息。
(5)发作的危害性,是有差异的、有等级的,例如,有时仅是简单的报错,或者系统程序和应用程序异常退出。
(6)发作的危害性的定量识别。
(7)是否发作环境为复杂、不同的网络环境。
(8)发作的各进程之间的协同。是否划分出不同优先级的感染环境。
(9)发作时,会控制哪些资源。逻辑上的划分,和物理上的划分。
14、在查毒时,需要保存现场信息。CONTEXT-SENSITIVE。
(1)目的是还原病毒发作时的操作系统环境,以便后续的对病毒的分析。
(2)确定病毒的发作条件。
(3)对不同的系统环境,有不同的发作效果。
(4)病毒发作是否有如在图形图像方面的显示效果。例如,DOS系统下的1575病毒发作时,会有一条“虫子”将屏幕的文字“吃掉”。
(5)现场信息的定性。
(6)现场信息的定量。
(7)现场信息的辅助处理。
(8)自动根据现场信息,复原出原先安全的系统。
(9)从人类处理证据的方法,可以简单地推出上述的内容。
someon 2009-01-14
- 打赏
- 举报
很强大 up
ftai08 2009-01-13
- 打赏
- 举报
9、对病毒生存情况的管理机制。简单的一种,是管理和保存已经感染的文件和目录信息。
10、如何避开变化和发展中的病毒查杀功能。
11、如何保护病毒程序去掩盖感染的过程性信息。
12、保证兼容性感染不同版本的操作系统下的文件及目录系统。
------------------------------------------------
9、对病毒生存情况的管理机制。简单的一种,是管理和保存已经感染的文件和目录信息。
9、1、可能需要将病毒程序包中的各模块的功能进行分类。
9、2、对病毒在现存系统中的总体信息保存下来。并随时更新。
9、3、上面的问题,也是在WINDOWS含毒情况下的。
9、4、也有可能进行“重入(?)”问题。
9、5、病毒在其监控模块下,进行升级的问题,进行隐藏的问题。
从这里看,病毒的自我隐藏,是关于病毒的一个非常重大、涉及到病毒的生存的问题。
10、如何避开变化和发展中的病毒查杀功能。
10、1、病毒中的分模块,应对查杀。病毒是在不停地感染中的,查杀病毒也经常是自动和手工同时进行的。
10、2、收集查杀病毒程序,通过网络,使得远程更新病毒模块成为可能。
10、3、只要查杀后还有病毒模块的存在,就要保存查杀程序的一些上下文。
10、4、病毒程序可分为代码区和数据区。可以自动修改病毒程序。
11、如何保护病毒程序去掩盖感染的过程性信息。
11、1、感染过程中,WINDOWS会怎样保存历史记录。
12、保证兼容性感染不同版本的操作系统下的文件及目录系统。
10、如何避开变化和发展中的病毒查杀功能。
11、如何保护病毒程序去掩盖感染的过程性信息。
12、保证兼容性感染不同版本的操作系统下的文件及目录系统。
------------------------------------------------
9、对病毒生存情况的管理机制。简单的一种,是管理和保存已经感染的文件和目录信息。
9、1、可能需要将病毒程序包中的各模块的功能进行分类。
9、2、对病毒在现存系统中的总体信息保存下来。并随时更新。
9、3、上面的问题,也是在WINDOWS含毒情况下的。
9、4、也有可能进行“重入(?)”问题。
9、5、病毒在其监控模块下,进行升级的问题,进行隐藏的问题。
从这里看,病毒的自我隐藏,是关于病毒的一个非常重大、涉及到病毒的生存的问题。
10、如何避开变化和发展中的病毒查杀功能。
10、1、病毒中的分模块,应对查杀。病毒是在不停地感染中的,查杀病毒也经常是自动和手工同时进行的。
10、2、收集查杀病毒程序,通过网络,使得远程更新病毒模块成为可能。
10、3、只要查杀后还有病毒模块的存在,就要保存查杀程序的一些上下文。
10、4、病毒程序可分为代码区和数据区。可以自动修改病毒程序。
11、如何保护病毒程序去掩盖感染的过程性信息。
11、1、感染过程中,WINDOWS会怎样保存历史记录。
12、保证兼容性感染不同版本的操作系统下的文件及目录系统。
ftai08 2009-01-13
- 打赏
- 举报
5、修改WINDOWS系统程序机制。
6、类似于解决兼容性问题的机制。病毒程序当然是尽可能多地感染需要感染的程序。
7、区分WINDOWS系统下各种程序的机制。
8、获得WINDOWS可公开的信息,同时,保护、隐含病毒程序的机制。使得杀毒程序难以起到应有的效果。
-----------------------------------------------------
5、修改WINDOWS系统程序机制。
5、1、对WINDOWS系统程序分类。
5、2、对系统程序而言,有些需要精确到二进制的程度。
5、3、修改WINDOWS程序,WP2的目的有:
*感染病毒,并且仍然能够完成WP2原先预定的功能。
*感染前后WP2的各种性能和功能的对比。
*隐藏病毒特征。使得病毒程序的整个发现流程断代。
*新WP2是否完全满足感染和发作、传播之病毒程序的机制。
*感染前后,WP2涉及的各种时间因素。
*WP2在文件管理下的快照。
6、类似于解决兼容性问题的机制。病毒程序当然是尽可能多地感染需要感染的程序。
6、1、针对各种WINDOWS版本。保留其系统平台。
6、2、病毒程序包之间的合作。
6、3、在病毒程序设计之前,自动编程寻找不同的WINDOWS系统版本。
7、区分WINDOWS系统下各种程序的机制。
7、1、跟踪正常WINDOWS系统中的程序的数据区和程序代码区的数据。
7、2、哪些正常程序容易感染。
7、3、反病毒程序经常探测的文件。
8、获得WINDOWS可公开的信息,同时,保护、隐含病毒程序的机制。使得杀毒程序难以起到应有的效果。
8、1、尤其是WINDOWS版本变化时,有许多信息。
8、2、WINDOWS是个大系统,在版本变化时,那些以前工作正常的系统模块(程序包),容易被再次引用进行新的WINDOWS中。
8、3、WINDOWS的进程控制系统。
一个问题是,哪些会感染。
二个问题是,有哪些被病毒控制的进程。
三个问题是,进程方面的PCB(Process Control Block),需要仔细研究,而不是停留在本科版本的《操作系统》教科书上。
四个问题是,有哪些程序会生成进程。又有哪些进程会是在WINDOWS下可视。
五个问题是,进程的可视性、可控制性、可检测性。
6、类似于解决兼容性问题的机制。病毒程序当然是尽可能多地感染需要感染的程序。
7、区分WINDOWS系统下各种程序的机制。
8、获得WINDOWS可公开的信息,同时,保护、隐含病毒程序的机制。使得杀毒程序难以起到应有的效果。
-----------------------------------------------------
5、修改WINDOWS系统程序机制。
5、1、对WINDOWS系统程序分类。
5、2、对系统程序而言,有些需要精确到二进制的程度。
5、3、修改WINDOWS程序,WP2的目的有:
*感染病毒,并且仍然能够完成WP2原先预定的功能。
*感染前后WP2的各种性能和功能的对比。
*隐藏病毒特征。使得病毒程序的整个发现流程断代。
*新WP2是否完全满足感染和发作、传播之病毒程序的机制。
*感染前后,WP2涉及的各种时间因素。
*WP2在文件管理下的快照。
6、类似于解决兼容性问题的机制。病毒程序当然是尽可能多地感染需要感染的程序。
6、1、针对各种WINDOWS版本。保留其系统平台。
6、2、病毒程序包之间的合作。
6、3、在病毒程序设计之前,自动编程寻找不同的WINDOWS系统版本。
7、区分WINDOWS系统下各种程序的机制。
7、1、跟踪正常WINDOWS系统中的程序的数据区和程序代码区的数据。
7、2、哪些正常程序容易感染。
7、3、反病毒程序经常探测的文件。
8、获得WINDOWS可公开的信息,同时,保护、隐含病毒程序的机制。使得杀毒程序难以起到应有的效果。
8、1、尤其是WINDOWS版本变化时,有许多信息。
8、2、WINDOWS是个大系统,在版本变化时,那些以前工作正常的系统模块(程序包),容易被再次引用进行新的WINDOWS中。
8、3、WINDOWS的进程控制系统。
一个问题是,哪些会感染。
二个问题是,有哪些被病毒控制的进程。
三个问题是,进程方面的PCB(Process Control Block),需要仔细研究,而不是停留在本科版本的《操作系统》教科书上。
四个问题是,有哪些程序会生成进程。又有哪些进程会是在WINDOWS下可视。
五个问题是,进程的可视性、可控制性、可检测性。
ftai08 2009-01-13
- 打赏
- 举报
病毒程序有以下几种机制:
1、感染机制。
1、1、从整个WINDOWS系统,转换成一个被病毒破坏和驻留的不安全系统。
1、2、华为公司(http://www.huawei.com)招聘信息安全人员,曾有以下几个要求:
即“三防二I”:网络攻防、防病毒、防火墙;PKI,IDS(入侵检测系统)。
Public Key Infrastrue.
Intrude Detection System.
1、3、修改原系统文件,生成新系统文件,调整某些文件所在目录。完全新生成新文件。
1、4、确定WINDOWS系统版本。
1、5、确定要尽力感染的目录和文件。
1、6、对WINDOWS系统各个目录的控制。
2、驻留内存机制。
2、1、病毒代码分成几部分寄存在内存。
2、2、病毒代码附加和混合在静态文件上。在如“运行”这个文件时,开始启动感染机制。
2、3、对内存的控制。
2、4、对内存的划分。
3、网络传播机制。
3、1、在TCP/IP体系结构上,传播出去。
3、2、自动寻找可感染的系统。
3、3、新病毒到达时的伪装,使得尽可能多的感染这一目录成为现实。
3、4、对路由的控制。
3、5、透过防火墙。
4、修改WINDOWS系统级的对文件和目录的管理机制。
4、1、与WINDOWS系统文件和系统进程,进行交互,明确其对病毒的感染和传播的作用。
4、2、确定WINDOWS各种版本下:运行中的系统的分析。
4、3、对WINDOWS下进程管理系统的分析。
4、4、对WINDOWS下目录、文件、进程的生存期的研究。
1、感染机制。
1、1、从整个WINDOWS系统,转换成一个被病毒破坏和驻留的不安全系统。
1、2、华为公司(http://www.huawei.com)招聘信息安全人员,曾有以下几个要求:
即“三防二I”:网络攻防、防病毒、防火墙;PKI,IDS(入侵检测系统)。
Public Key Infrastrue.
Intrude Detection System.
1、3、修改原系统文件,生成新系统文件,调整某些文件所在目录。完全新生成新文件。
1、4、确定WINDOWS系统版本。
1、5、确定要尽力感染的目录和文件。
1、6、对WINDOWS系统各个目录的控制。
2、驻留内存机制。
2、1、病毒代码分成几部分寄存在内存。
2、2、病毒代码附加和混合在静态文件上。在如“运行”这个文件时,开始启动感染机制。
2、3、对内存的控制。
2、4、对内存的划分。
3、网络传播机制。
3、1、在TCP/IP体系结构上,传播出去。
3、2、自动寻找可感染的系统。
3、3、新病毒到达时的伪装,使得尽可能多的感染这一目录成为现实。
3、4、对路由的控制。
3、5、透过防火墙。
4、修改WINDOWS系统级的对文件和目录的管理机制。
4、1、与WINDOWS系统文件和系统进程,进行交互,明确其对病毒的感染和传播的作用。
4、2、确定WINDOWS各种版本下:运行中的系统的分析。
4、3、对WINDOWS下进程管理系统的分析。
4、4、对WINDOWS下目录、文件、进程的生存期的研究。
hu5210898 2009-01-07
- 打赏
- 举报
学习了
y7j1m51494 2009-01-05
- 打赏
- 举报
学习一下,路过。呵呵
加载更多回复(9)
