browser icon
You are using an insecure version of your web browser. Please update your browser!
Using an outdated browser makes your computer unsafe. For a safer, faster, more enjoyable user experience, please update your browser today or try a newer browser.

有关病毒特征码

Posted by on 2006 年 03 月 13 日

你可以任意转载本文,但请在转载后的文章中注明作者和原始链接。
媒体约稿请联系 titilima_AT_163.com(把“_AT_”换成“@”)。

在网易上看到一篇有意思的文章,大意是把以下这段文本

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

粘贴到一个文本文件里并保存,就可以看出杀毒软件的引擎优劣。我试了一下,自己的Symantec还是很不错的,在刚刚把文本保存时就有了响应。

原文对此的解释是:“该段代码是欧洲计算机防病毒协会开发的一种病毒代码,其中的特征码已经包含在各种杀毒软件的病毒代码库里,所以可以用做测试病毒扫描引擎。”是的,由此看来杀毒引擎的杀毒方法是特征码的提取与判断。虽然说在今天这仍然是最有效且屡试不爽的办法,但它势必存在着局限性。变种,病毒的变种就会对这种方法产生极大的威胁。虽然说现在很多的杀毒软件都有模糊特征码的查毒功能,但是这仍然会有两点遗憾:漏报和误报——盖由模糊算法的缺陷所导致。

这并不是我杞人忧天,以我这里的Symantec(病毒定义文件2006-3-8 rev. 7)来说,这个病毒库中收录了我2003年编写的“QQ尾巴病毒演示程序”,也就是说,在将zip包解压缩后,Hook.dll和QQTail.exe就会被Symantec删除——的确是够快。但是,这两个文件是用VS2003编译的。于是当我把源代码重新用VC6编译完毕后,Symantec的反应就是——毫无反应了。

毕竟,互联网上如我一样打着“旨在探讨技术”幌子的病毒代码多了去了。

订阅本站

7 Comments

  • At 2006.03.13 17:37, said:

    表网易咧,寒泉上就出咧~

    • At 2006.03.14 07:59, 阿奔 said:

      我的Symantec咋没反应阿

      • At 2006.03.14 13:27, zxg said:

        我的卡吧斯基也没有反应

        • At 2006.03.14 18:18, 芽雨 said:

          啥时偶也写个病毒玩玩

          • At 2006.03.16 14:40, mayulei said:

            好像感觉有些日子没来过了。
            哦?“QQ尾巴病毒”是你写的?
            嗯,可能是“演示程序”吧。呵呵,这话说的不礼貌,兄弟你别多心。
            我对病毒是门外汉,不过倒是不经常遭受病毒侵害的。
            Symantec AntiVirus防毒能力还不错,杀毒能力就一般了。
            Symantec 还是很牛的公司,安全大户,到处收购,了不起。

            • At 2006.03.16 14:44, 李马 said:

              To mayulei:
              的确是一个演示程序,不过我也由此认识了这个病毒的作者。

              • At 2006.03.30 16:51, 空心草 said:

                呵呵,那个文章看了,连附送的《全球著名杀毒软件使用经验谈》也看了,不过我什么都没有,我就是那种敢于裸奔电脑上网的用户,哈哈哈!

                (Required)
                (Required, will not be published)