如何提取病毒特征码-CSDN论坛

CSDN论坛 > VC/MFC > 基础类

如何提取病毒特征码 [问题点数：100分，结帖人thisisll]

一键查看最优答案

确认一键查看最优答案？

本功能为VIP专享，开通VIP获取答案速率将提升10倍哦！

取消

开通vip会员

⋅【正则表达式】字符串 ⋅发招聘帖子被扣了10个性欲,散200分,庆祝 ⋅★返回延时的问题★ 更多帖子 关注私信空间博客 thisisll 本版专家分：11028 结帖率 100%: 看了些资料
可以用反汇编来提取
可是我还没接触过
有相关资料或者其他简单方法的
希望路过的朋友们能贴上了
不胜感激

0 2005-05-17 09:27:58

回复数 29 只看楼主引用举报楼主

⋅【正则表达式】字符串 ⋅发招聘帖子被扣了10个性欲,散200分,庆祝 ⋅★返回延时的问题★ 更多帖子 关注私信空间博客 thisisll 本版专家分：11028: 用IDA pro来反汇编病毒
但如何从中辨别特征码呢？

0 2005-05-17 09:59:33

只看TA 引用举报 #1 得分 0

⋅作用域问题 ⋅delete [] p问题请教 ⋅windows系统下，直接用gcc, g++等命令编译文件需要下在那些包？ 更多帖子 关注私信空间博客 koko1998 本版专家分：6335: mark

0 2005-05-17 10:26:43

只看TA 引用举报 #2 得分 2

⋅现在做linux开发前途怎么样？ ⋅关于login! ⋅第一份工作干多长才算最合适? 更多帖子 关注私信空间博客 cnwolf 本版专家分：2708: gz

0 2005-05-17 10:39:19

只看TA 引用举报 #3 得分 2

auly403 本版专家分：1440: mark

0 2005-05-17 10:56:22

只看TA 引用举报 #4 得分 2

kgdiwss 本版专家分：28: 一个字,难.

0 2005-05-17 11:08:54

只看TA 引用举报 #5 得分 2

⋅MFC support for MBCS deprecated in Visual Studio 2013

⋅收到中秋礼物了，感谢CSDN

⋅^_^，升钻了，散分

更多帖子

关注私信空间博客

oyljerry

本版专家分：433039

版主

榜眼 2009年总版技术专家分年内排行榜第二
2005年总版技术专家分年内排行榜第二

进士 2018年总版新获得的技术专家分排名前十

银牌 2009年7月总版技术专家分月排行榜第二
2009年3月总版技术专家分月排行榜第二
2009年1月总版技术专家分月排行榜第二
2005年7月总版技术专家分月排行榜第二
2005年5月总版技术专家分月排行榜第二
2005年3月总版技术专家分月排行榜第二

优秀版主 优秀小版主
2015年8月优秀小版主
2015年9月优秀小版主
2015年5月优秀小版主
2015年2月论坛优秀版主: ^_^，gz

0 2005-05-17 11:12:09

只看TA 引用举报 #6 得分 2

⋅大半年了，没来了，改行了，散分…… ⋅4bit 二进制转为16进制的ASIIC，这段程序谁帮我分析分析~ ⋅伤心人散分，眼泪哗哗的。因为是技术贴，问个技术问题 更多帖子 关注私信空间博客 surstar 本版专家分：5722: 学习~

0 2005-05-17 11:42:54

只看TA 引用举报 #7 得分 2

⋅[已处理] 论坛回复功能改进建议

⋅社区是否实现了签名功能？

⋅【散分告别】再见,朋友~

更多帖子

关注私信空间博客

kugou123

本版专家分：43739

微软MVP 2005年9月荣获微软MVP称号
2008年10月荣获微软MVP称号
2007年10月荣获微软MVP称号
2006年10月荣获微软MVP称号: 基本上每个病毒有自己特定的感染和运行方式。
因此他们调用的语句有些是比较特别的。
这些语句你用反汇编跟踪后，可以得到一段对应这些语句的机器码。
这些机器码就是病毒的特征码。
你需要有反汇编和调试跟踪的工具。
病毒特征码基本就是用这种方式获取的。

0 2005-05-17 13:46:28

只看TA 引用举报 #8 得分 10

⋅请问有经验的兄弟,我想自己开发一个通话录音软件,容易吗? ⋅关于QQ游戏外挂mouse_event不起作用的原因,及我的对对碰外挂程序. ⋅~~~~变成两颗红星了,散分~~~~~~(2) 更多帖子 关注私信空间博客 dongfa 本版专家分：15042 蓝花 2001年12月 VC/MFC大版内专家分月排行榜第三: 应该只能是人工方式提取吧。
找出病毒最具特点的机器码。

0 2005-05-17 14:11:47

只看TA 引用举报 #9 得分 5

⋅CodeProject-Jerry的留言板 ⋅系统选型,集成了BBS的CMS ⋅分享，深入CLR, 动态修改msil代码进行hook等操作 更多帖子 关注私信空间博客 CodeProject-J... 本版专家分：16779 版主: 如果病毒不变  就取CRC32算了

病毒体变的化   特征码对它没用

0 2005-05-17 14:58:56

只看TA 引用举报 #10    得分 5

angelcool 本版专家分：412: study

0 2005-05-17 15:01:09

只看TA 引用举报 #11 得分 2

⋅【正则表达式】字符串 ⋅发招聘帖子被扣了10个性欲,散200分,庆祝 ⋅★返回延时的问题★ 更多帖子 关注私信空间博客 thisisll 本版专家分：11028: 我就打算人工提取

to kugou123(酷狗)(http://www.xiaozhou.net)
怎么样得到机器码？

0 2005-05-17 15:02:31

只看TA 引用举报 #12 得分 0

⋅【正则表达式】字符串 ⋅发招聘帖子被扣了10个性欲,散200分,庆祝 ⋅★返回延时的问题★ 更多帖子 关注私信空间博客 thisisll 本版专家分：11028: 我没作过这方面的
反汇编后的特征都有些什么
不太熟悉
谢谢

0 2005-05-17 15:22:13

只看TA 引用举报 #13 得分 0

⋅【正则表达式】字符串 ⋅发招聘帖子被扣了10个性欲,散200分,庆祝 ⋅★返回延时的问题★ 更多帖子 关注私信空间博客 thisisll 本版专家分：11028: UP

0 2005-05-17 21:15:01

只看TA 引用举报 #14 得分 0

⋅[已处理] 论坛回复功能改进建议

⋅社区是否实现了签名功能？

⋅【散分告别】再见,朋友~

更多帖子

关注私信空间博客

kugou123

本版专家分：43739

微软MVP 2005年9月荣获微软MVP称号
2008年10月荣获微软MVP称号
2007年10月荣获微软MVP称号
2006年10月荣获微软MVP称号: 你在跟踪调试的时候，可以看到相应汇编语句的十六进制机器码表示，那些十六进制串，就是特征码啦。

0 2005-05-17 21:25:46

只看TA 引用举报 #15 得分 5

⋅【正则表达式】字符串 ⋅发招聘帖子被扣了10个性欲,散200分,庆祝 ⋅★返回延时的问题★ 更多帖子 关注私信空间博客 thisisll 本版专家分：11028: 那有很多啊
都是吗?

0 2005-05-17 21:35:22

只看TA 引用举报 #16 得分 0

⋅关于共享内存的问题 ⋅用gdb调试的时候，符号文件（symbol file)是单独的文件吗？还是其他什么？ ⋅=== 用不同帐号登陆后的进行间共享内存问题=== 更多帖子 关注私信空间博客 antonliox 本版专家分：8744: 我曾在一家美国的网络安全公司兼职过她的病毒库的提取主要有：

1 算整个文件的MD5  ；这个一般在病毒爆发的最快时间类出pattern的应急之方法等以后通过分析，将采用下面的pattern的分析结果。

2 静态分析文件的结构，如PE（关于结构有很多资料的）寻找里面的代码段入口点等等信息
   一般提取2个以上的点中间用通配符号

0 2005-05-17 21:38:18

只看TA 引用举报 #17    得分 30

⋅关于共享内存的问题 ⋅用gdb调试的时候，符号文件（symbol file)是单独的文件吗？还是其他什么？ ⋅=== 用不同帐号登陆后的进行间共享内存问题=== 更多帖子 关注私信空间博客 antonliox 本版专家分：8744: 3 特征的提取通知需要结合动态的分析（也就是让病毒在运行中分析），当然基本还是以静态分析为主。至于位置的选取我暂时还不清楚有什么特别显著的规律。

0 2005-05-17 21:40:20

只看TA 引用举报 #18 得分 0

⋅openhero的留言板 ⋅真切的感受到了生命的缩小 ⋅FGC 2011 - The Second International Workshop on Frontier of GPU Computing 更多帖子 关注私信空间博客 openhero 本版专家分：431 版主 黄花 2010年4月 CUDA大版内专家分月排行榜第二: 一般都是反汇编，然后跟踪，变异就难说了
反汇编工具比较多
IDA PRO ；　OllyDbg；C32Asm

0 2005-05-17 21:51:06

只看TA 引用举报 #19 得分 5

⋅[已处理] 论坛回复功能改进建议

⋅社区是否实现了签名功能？

⋅【散分告别】再见,朋友~

更多帖子

关注私信空间博客

kugou123

本版专家分：43739

微软MVP 2005年9月荣获微软MVP称号
2008年10月荣获微软MVP称号
2007年10月荣获微软MVP称号
2006年10月荣获微软MVP称号: 你要根据病毒的特点而定。

0 2005-05-17 21:57:21

只看TA 引用举报 #20 得分 5

⋅请教用unix socket获取本机ip地址的问题 ⋅请教关于局域网内无服务器的点对点通讯问题 ⋅请教一个物理引擎的问题，我设置了某个刚体y方向的力，我希望他运动一段时间后会掉落回0的位置 更多帖子 关注私信空间博客 crazyazreal 本版专家分：8006: 我想大家误会楼主的意思了``楼主是想问，怎样反汇编程序？（不是借助别的工具，通过代码来完成）`

0 2005-05-17 22:25:47

只看TA 引用举报 #21 得分 5

⋅关于共享内存的问题 ⋅用gdb调试的时候，符号文件（symbol file)是单独的文件吗？还是其他什么？ ⋅=== 用不同帐号登陆后的进行间共享内存问题=== 更多帖子 关注私信空间博客 antonliox 本版专家分：8744: 病毒特征码 != 反汇编得到的代码

0 2005-05-17 23:06:16

只看TA 引用举报 #22 得分 2

⋅关于共享内存的问题 ⋅用gdb调试的时候，符号文件（symbol file)是单独的文件吗？还是其他什么？ ⋅=== 用不同帐号登陆后的进行间共享内存问题=== 更多帖子 关注私信空间博客 antonliox 本版专家分：8744: 病毒特征码是病毒文件本身的字节

0 2005-05-17 23:06:42

只看TA 引用举报 #23 得分 2

⋅【正则表达式】字符串 ⋅发招聘帖子被扣了10个性欲,散200分,庆祝 ⋅★返回延时的问题★ 更多帖子 关注私信空间博客 thisisll 本版专家分：11028: CrazyAzreal(卖血上网)
大家理解对着呢

我是想知道根据什么来判断这里是病毒的特征码不是那里

0 2005-05-17 23:44:32

只看TA 引用举报 #24 得分 0

⋅【正则表达式】字符串 ⋅发招聘帖子被扣了10个性欲,散200分,庆祝 ⋅★返回延时的问题★ 更多帖子 关注私信空间博客 thisisll 本版专家分：11028: up

0 2005-05-18 22:36:41

只看TA 引用举报 #25 得分 0

qaz1984 本版专家分：350: up

0 2005-05-18 23:05:16

只看TA 引用举报 #26 得分 2

⋅如何禁用IE浏览器的自动修正地址功能 ⋅【挑战极限】从BYTE数组到无符号整数间的转换效率 ⋅NV 4xx,5xx系列的GPU 整数运算效率如何？ 更多帖子 关注私信空间博客 leechiyang 本版专家分：2581: 应该是机器吗，而不是把汇编代码中的某一段作为特征码。
否则查毒的时候怎么办？其不慢死了？
可能还包含文件名，文件大小，文件创建、修改日期，属性，等特征。

0 2005-05-19 08:27:30

只看TA 引用举报 #27 得分 2

⋅CodeProject-Jerry的留言板 ⋅系统选型,集成了BBS的CMS ⋅分享，深入CLR, 动态修改msil代码进行hook等操作 更多帖子 关注私信空间博客 CodeProject-J... 本版专家分：16779 版主: IDA PRO 4.7 反汇编VC的最好

0 2005-05-19 08:41:51

只看TA 引用举报 #28 得分 5

xnlcx 本版专家分：335: 学习...

0 2005-05-19 08:51:30

只看TA 引用举报 #29 得分 3

收藏帖子