計(jì)算機(jī)病毒與反病毒檢測(cè)系統(tǒng)技術(shù)分析

李丹

計(jì)算機(jī)病毒與反病毒檢測(cè)系統(tǒng)技術(shù)分析

李丹

針對(duì)計(jì)算機(jī)被病毒感染和破壞造成嚴(yán)重?fù)p失，在分析了計(jì)算機(jī)病毒的特征和反病毒檢測(cè)系統(tǒng)技術(shù)的基礎(chǔ)上，提出了一種高效的病毒特征檢測(cè)機(jī)制。首先，例舉先進(jìn)的反病毒技術(shù)有實(shí)時(shí)掃描技術(shù)，啟發(fā)式代碼掃描技術(shù)，虛擬機(jī)技術(shù)和主動(dòng)內(nèi)核技術(shù)等；然后，分析了二進(jìn)制可執(zhí)行病毒腳本病毒和宏病毒的特征提取技術(shù)，設(shè)計(jì)出一個(gè)簡(jiǎn)單蜜罐系統(tǒng)來(lái)獲取病毒樣本；其次，為了解決特征代碼不能檢測(cè)未知病毒的問(wèn)題，對(duì)引擎做了改進(jìn)，提出了一種融合AC自動(dòng)機(jī)匹配算法和BM算法的ACBM多模式匹配算法。算法在匹配病毒特征時(shí)，具有效率高，速度快和準(zhǔn)確度高的特點(diǎn)，以特征代碼法為基礎(chǔ)殺毒軟件是病毒檢測(cè)系統(tǒng)是下一步研究目標(biāo)。

病毒探測(cè)機(jī)；字符碼；PE文件；匹配法則

0 引言

計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的快速發(fā)展給人們的工作和生活帶來(lái)了前所未有的便利和效率，成為現(xiàn)代社會(huì)不可缺少的一部分。然而計(jì)算機(jī)系統(tǒng)并不安全，不安全因素有計(jì)算機(jī)信息系統(tǒng)自身的，也有人為的，計(jì)算機(jī)病毒就是最不安全的因素之一。因此研究計(jì)算機(jī)病毒機(jī)理和反病毒技術(shù)具有重要意義[1-2]。

1 國(guó)內(nèi)外研究現(xiàn)狀

計(jì)算機(jī)病毒的出現(xiàn)也促使了計(jì)算機(jī)反病毒技術(shù)的進(jìn)步，反病毒技術(shù)已發(fā)展到了現(xiàn)在的虛擬機(jī)和實(shí)時(shí)監(jiān)測(cè)等技術(shù)。

殺毒引擎目前主流有以下一些實(shí)現(xiàn)方式：虛擬機(jī)技術(shù)，實(shí)時(shí)監(jiān)控技術(shù)，智能碼標(biāo)識(shí)技術(shù)，行為攔截技術(shù)等[3]。目前國(guó)內(nèi)外殺毒軟件公司采用的新技術(shù)如表1所示：

表 1 2011 年八款殺毒軟件特色對(duì)比

雖然目前的殺病毒技術(shù)和產(chǎn)品已經(jīng)完全能夠殺除已知病毒,但是還缺乏對(duì)付未知新病毒的有效手段[4]，技術(shù)上不能一勞永逸地解決病毒問(wèn)題。

2 計(jì)算機(jī)病毒與反病毒技術(shù)分析

2.1 計(jì)算機(jī)病毒定義

Fred Cohen定義：計(jì)算機(jī)病毒是一種程序，它用修改其它程序的方法將自身的精確拷貝或者演化版本植入其它程序，從而感染其它程序。由于這種感染特性，病毒可以在信息流的過(guò)渡途徑中傳播，從而破壞信息的完整性。

在《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 》中，計(jì)算機(jī)病毒（Computer Virus）被明確定義為：“計(jì)算機(jī)病毒”是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。

2.2 計(jì)算機(jī)病毒的主要特點(diǎn)

計(jì)算機(jī)病毒的主要特點(diǎn)為：

（1）傳染性

傳染性是計(jì)算機(jī)病毒的基本特征，計(jì)算機(jī)病毒代碼進(jìn)入計(jì)算機(jī)并執(zhí)行后，它會(huì)尋找其他符合條件的程序或存儲(chǔ)介質(zhì)，確定目標(biāo)后再將自身代碼插入其中 實(shí)現(xiàn)了自我復(fù)制和傳染的目的。

（2）隱蔽性

絕大部分病毒是一段小巧的代碼，通常是插入在程序文件中或存儲(chǔ)介質(zhì)較隱蔽的地方，也有少量以隱含文件形式存在。

（3）可觸發(fā)性

病毒因某個(gè)事件或數(shù)值的出現(xiàn)，誘使病毒實(shí)施感染或進(jìn)行攻擊的特性稱(chēng)為可觸發(fā)性。

（4）破壞性

系統(tǒng)感染病毒后，都會(huì)對(duì)系統(tǒng)及應(yīng)用程序產(chǎn)生不同程度的影響。輕的占用系統(tǒng)資源，降低系統(tǒng)效率；重的破壞系統(tǒng)數(shù)據(jù)，造成系統(tǒng)崩潰。

2.3 計(jì)算機(jī)病毒的基本結(jié)構(gòu)模式和工作機(jī)理

盡管目前出現(xiàn)的計(jì)算機(jī)病毒數(shù)量種類(lèi)繁雜多樣，但是通過(guò)對(duì)病毒程序代碼的分析、比較和歸納可以發(fā)現(xiàn)，絕大多數(shù)病毒程序都是由引導(dǎo)區(qū)模塊、傳染域模塊和破壞表現(xiàn)模塊三部分組成。三部分組成的計(jì)算機(jī)病毒程序結(jié)構(gòu)大致如圖1所示：

圖 1 計(jì)算機(jī)病毒結(jié)構(gòu)的基本模式

引導(dǎo)模塊完成病毒加載的功能，當(dāng)使用帶病毒的軟盤(pán)或者硬盤(pán)啟動(dòng)系統(tǒng)時(shí)，引導(dǎo)型病毒就被加載。傳染模塊是傳染病毒的動(dòng)作部分，計(jì)算機(jī)病毒在此過(guò)程中尋找對(duì)應(yīng)的對(duì)象文件，判斷傳染條件是否成立，如果傳染條件成立就進(jìn)行傳染。發(fā)作模塊完成病毒對(duì)計(jì)算機(jī)系統(tǒng)的破壞。同樣發(fā)作模塊也是先判斷病毒發(fā)作的條件是否符合，如果滿(mǎn)足所有發(fā)作條件，病毒就實(shí)施破壞功能。

計(jì)算機(jī)病毒的工作機(jī)理可分為：

（1）加載和引導(dǎo)機(jī)理

病毒程序的加載主要分成兩個(gè)部分：其一是系統(tǒng)裝載過(guò)程，其二是病毒附加的加載過(guò)程。

計(jì)算機(jī)病毒的傳播是指計(jì)算機(jī)病毒在從一個(gè)計(jì)算機(jī)系統(tǒng)傳播到另外一個(gè)計(jì)算機(jī)系統(tǒng)的過(guò)程。主要有以下四種途徑：通過(guò)不可移動(dòng)的硬件設(shè)備傳播，通過(guò)移動(dòng)存儲(chǔ)設(shè)備來(lái)傳播，通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行傳播，通過(guò)點(diǎn)對(duì)點(diǎn)通信系統(tǒng)和無(wú)線通道傳播。

（2）破壞表現(xiàn)機(jī)理

病毒程序的引導(dǎo)模塊和傳染模塊是為破壞表現(xiàn)模塊服務(wù)的。破壞表現(xiàn)模塊可以在第一次病毒代碼加載時(shí)運(yùn)行，也可能在第一次病毒代碼加載時(shí)只有引導(dǎo)模塊引入內(nèi)存，然后再通過(guò)觸發(fā)某些中斷機(jī)制而運(yùn)行。

有些病毒修改操作系統(tǒng)使病毒代碼成為操作系統(tǒng)的一部分功能模塊，只要計(jì)算機(jī)系統(tǒng)工作，病毒就處于隨時(shí)可能被觸發(fā)的狀態(tài)。

2.4 幾種新型的計(jì)算機(jī)反病毒技術(shù)[5-6]

（1）實(shí)時(shí)反病毒技術(shù)

由于新病毒的不斷涌現(xiàn)，用戶(hù)感覺(jué)傳統(tǒng)的病毒檢測(cè)方法已無(wú)法全面應(yīng)付病毒的蔓延。在這種情況下，計(jì)算機(jī)專(zhuān)家提出可將重要的系統(tǒng)文件和DOS引導(dǎo)文件固化到PC機(jī)的BIOS中（類(lèi)似于網(wǎng)絡(luò)無(wú)盤(pán)工作站），防止這些重要文件被計(jì)算機(jī)病毒感染。這應(yīng)該就是實(shí)時(shí)反病毒概念的雛形。

實(shí)時(shí)反病毒技術(shù)被認(rèn)為是比較徹底的反病毒解決方案。但是它的發(fā)展一直受到制約，一方面，是由于它需要占用一部分系統(tǒng)資源使得系統(tǒng)的性能降低；另一方面，是因?yàn)樗c操作系統(tǒng)以及其他軟件的兼容性問(wèn)題。綜上所述，實(shí)時(shí)反病毒技術(shù)是信息技術(shù)發(fā)展的必然結(jié)果。

（2）啟發(fā)式代碼掃描技術(shù)

啟發(fā)式指的就是自我發(fā)現(xiàn)的能力或運(yùn)用某種方式或方法去判定事物的知識(shí)和技能。一個(gè)運(yùn)用啟發(fā)式掃描技術(shù)的病毒檢測(cè)軟件，實(shí)際上就是以特定方式實(shí)現(xiàn)的動(dòng)態(tài)解釋器或反編譯器，通過(guò)對(duì)有關(guān)病毒指令的反編譯，逐步理解和確定其包含的真正動(dòng)機(jī)。

啟發(fā)式代碼掃描技術(shù)，是一種應(yīng)用了人工智能原理的反病毒技術(shù)。它向我們展示了一種通用的，不需升級(jí)（較少升級(jí)或不依賴(lài)于升級(jí)）的病毒檢測(cè)技術(shù)和產(chǎn)品的可能性。由于其具有的巨大優(yōu)勢(shì)，是其他反病毒技術(shù)無(wú)法比擬的，所以，啟發(fā)式代碼掃描技術(shù)必然會(huì)得到快速發(fā)展和廣泛應(yīng)用。

（3）虛擬機(jī)技術(shù)

虛擬機(jī)技術(shù)是反病毒領(lǐng)域的領(lǐng)先技術(shù)。這種技術(shù)類(lèi)似于人工分析，具有很高的智能化程度，查毒的準(zhǔn)確性也達(dá)到了很高的水平，這種技術(shù)多用于檢測(cè)復(fù)雜病毒。

虛擬機(jī)中可以反映程序的任何動(dòng)態(tài)。將病毒放到虛擬機(jī)中，執(zhí)行病毒的傳染動(dòng)作一定可以反映出來(lái)。這樣一來(lái)，將大大提高未知病毒的查出概率。但是，因?yàn)樘摂M機(jī)大約會(huì)比正常的程序執(zhí)行的速度慢幾十倍甚至更多，所以，事實(shí)上我們無(wú)法完全虛擬執(zhí)行程序的所有代碼。目前個(gè)別反病毒軟件只是選擇了虛擬執(zhí)行樣本代碼段的前幾 K個(gè)字節(jié)的代碼，其查出概率就已經(jīng)高達(dá)95%。

（4）主動(dòng)內(nèi)核技術(shù)

主動(dòng)內(nèi)核技術(shù)用通俗的說(shuō)法是：從操作系統(tǒng)內(nèi)核這一深度給操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)打了一個(gè)補(bǔ)丁，而且是一個(gè)“主動(dòng)”的補(bǔ)丁。在文件進(jìn)入系統(tǒng)之前，作為主動(dòng)內(nèi)核的反病毒模塊都將首先使用各種手段對(duì)文件進(jìn)行檢測(cè)處理，計(jì)算機(jī)病毒檢測(cè)問(wèn)題實(shí)際上被轉(zhuǎn)化為了算法理論的問(wèn)題。

（5）病毒清除技術(shù)

絕大部分計(jì)算機(jī)病毒都是文件型病毒。所謂文件型病毒是指此類(lèi)病毒寄生在可執(zhí)行文件上，傳播的途徑也是靠可執(zhí)行文件。從數(shù)學(xué)角度而言，消除病毒的過(guò)程，實(shí)際上就是感染病毒的逆過(guò)程。

引導(dǎo)型病毒占據(jù)軟盤(pán)或硬盤(pán)的第一個(gè)扇區(qū)，在開(kāi)機(jī)后比操作系統(tǒng)先得到對(duì)計(jì)算機(jī)的控制。減慢系統(tǒng)的I/O存取速度，干擾系統(tǒng)的正常運(yùn)行。引導(dǎo)型病毒可用地址法、相對(duì)法、邏輯法、覆蓋法、特殊法予以清除。

新的內(nèi)存解毒技術(shù)是找到病毒在內(nèi)存中的位置，重構(gòu)其中部分代碼，使其傳播功能失效。因?yàn)閮?nèi)存中的活病毒體會(huì)干擾反病毒軟件的檢測(cè)結(jié)果，所以幾乎所有反病毒軟件設(shè)計(jì)者都要考慮到內(nèi)存解毒。

3 掃描引擎核心技術(shù)實(shí)現(xiàn)

掃描引擎的設(shè)計(jì)是提高病毒掃描速度的關(guān)鍵技術(shù)。對(duì)于已知的病毒也就意味著已經(jīng)擁有其特征代碼，在有了一個(gè)病毒特征代碼的情況下，只需要有一種匹配算法就可以完成既定的功能。模式匹配算法的性能直接影響檢測(cè)引擎的檢測(cè)效率，所以研究一種高效的多模式匹配算法是很有必要的。模式匹配可以分為單模式匹配算法和多模式匹配算法，兩者的區(qū)別在于單模式匹配算法在對(duì)文本的一次掃描中僅搜索一個(gè)模式，而多模式匹配算法在對(duì)文本的一次掃描中搜索一個(gè)給定的模式集合。

3.1 字符串單模式匹配算法

字符串單模式匹配算法中，最著名的兩個(gè)是KMP算法和BM算法。兩個(gè)算法在最壞情況下均具有線性的搜索時(shí)間。但實(shí)用上，KMP算法并不比最簡(jiǎn)單的 C庫(kù)函數(shù)strstr()快多少，而 BM算法則往往比 KMP算法快3-5倍。這還不是BM算法最快的算法，還有很多改進(jìn)的 BM算法存在，比如 BMH算法。

模式匹配是指在給定長(zhǎng)度為n的文本串T=T[1]T[2] … T[n]中查找長(zhǎng)度為m的模式串P=P[1]P[2] … P[m]的第一次出現(xiàn)的過(guò)程。若在T中能找到P的出現(xiàn)，則稱(chēng)匹配成功否則稱(chēng)匹配失敗。簡(jiǎn)單的模式匹配算法BF算法中，P的第一個(gè)字符和T的第一個(gè)字符對(duì)齊，然后從左至右一個(gè)一個(gè)地比較字符，直到發(fā)現(xiàn)了一個(gè)不匹配。

對(duì)上面的3種單模式匹配算法進(jìn)行匹配次數(shù)和比較的字符個(gè)數(shù)實(shí)驗(yàn)，用不同情況的測(cè)試得到如下4個(gè)表的數(shù)據(jù)（表中的數(shù)據(jù)是匹配次數(shù)比較的字符個(gè)數(shù)）如表2～表5所示：

1.學(xué)校往往把工作重心放在智育上，忽視了學(xué)生的道德品質(zhì)教育。近些年來(lái)，在國(guó)際大環(huán)境與國(guó)內(nèi)教育改革的形勢(shì)下，我們國(guó)家已開(kāi)展了一些有關(guān)情感教育的理論和實(shí)踐的探索，但實(shí)際情況是，包括感恩教育在內(nèi)的情感教育還沒(méi)有引起社會(huì)各方面的重視，實(shí)踐中一些手段與方法還很不夠，使感恩教育的目標(biāo)與現(xiàn)實(shí)之間還存在很大的差距。傳統(tǒng)的德育主要以教師為中心，注重道德知識(shí)的傳授，忽視學(xué)生在感情上的需求，沒(méi)有充分尊重他們的積極性和創(chuàng)造性。

表 2 匹配失敗

表3 文本頭部匹配成功

表4 文本中間匹配成功

表5 文本尾部匹配成功

其中4個(gè)表中長(zhǎng)度相同的主串中的字符是一樣的，而且如果匹配的話(huà)也只有一次匹配。從以上4個(gè)表可以看出，無(wú)論是否匹配成功，模式串在正文串的任何位置，BF、KMP和BM這 3種單模式匹配算法中BM算法最快。

3.2 基于AC自動(dòng)機(jī)的多模式匹配算法

字符串多模式匹配算法中最為典型的是AC算法。在病毒檢測(cè)系統(tǒng)中對(duì)特征碼進(jìn)行匹配時(shí)，主要是掃描文件或內(nèi)存中是否有可能匹配或部分匹配的多個(gè)病毒的特征，如果存在則我們判定為可疑病毒，但在匹配過(guò)程中，這樣逐條匹配每條病毒特征需要重新運(yùn)行匹配算法，逐條匹配的效率當(dāng)然也比較低。如何實(shí)現(xiàn)和提高掃描，尤其是病毒庫(kù)中的病毒特征記錄成倍增加時(shí)，簡(jiǎn)單的提高單模式匹配算法的效率，很難滿(mǎn)足病毒檢測(cè)系統(tǒng)的要求。因此提出一種多模式匹配算法，只需對(duì)文本串掃描一次就可以找出模式串集合中與其匹配的全部模式串，從而大大提高匹配效率。

在掃描階段，按照預(yù)處理階段構(gòu)造的有限自動(dòng)機(jī)逐一地查看文本T的每個(gè)字符，對(duì)T中的每個(gè)字符僅有一個(gè)狀態(tài)轉(zhuǎn)移函數(shù)，掃描階段所需要的時(shí)間是O（n）。所以AC算法模式匹配的時(shí)間復(fù)雜度是O（n），而且與模式集中模式串的個(gè)數(shù)和每個(gè)模式串的長(zhǎng)度無(wú)關(guān)。無(wú)論模式串P是否出現(xiàn)在T中，T中的每個(gè)字符都必須輸入狀態(tài)機(jī)中。所以無(wú)論是最好情況還是最壞情況，AC算法模式匹配的時(shí)間復(fù)雜度都是O（n）。

AC自動(dòng)機(jī)匹配算法包括預(yù)處理時(shí)間在內(nèi)的時(shí)間復(fù)雜度是O（m+n）。AC匹配算法具有如下幾個(gè)特點(diǎn)：1、算法簡(jiǎn)明性（原理和算法比較簡(jiǎn)單）；2、匹配高效性（對(duì)文本一次掃描）；3、內(nèi)容無(wú)關(guān)性（與模式及文本內(nèi)容無(wú)關(guān)）；4、通用性（可適合于任何類(lèi)型字符的檢索）。

3.3 AC-BM 算法

AC-BM算法思想：將待匹配的字符串集合轉(zhuǎn)換為一個(gè)類(lèi)似于 AC算法的樹(shù)狀有限狀態(tài)自動(dòng)機(jī)，但構(gòu)建時(shí)不是基于字符串的后綴而是前綴。匹配時(shí)，采取自后向前的搜索方法。并借用 BM算法的壞字符跳轉(zhuǎn)和好前綴跳轉(zhuǎn)技術(shù),即根據(jù)一種前綴關(guān)鍵字樹(shù)來(lái)計(jì)算劣勢(shì)移動(dòng)表和優(yōu)勢(shì)跳轉(zhuǎn)表。從而可以跳躍式地并行搜索模式集合，因此，在速度方面具有較高的優(yōu)越性。

對(duì)用 BF實(shí)現(xiàn)多模式匹配和AC、AC-BM兩種多模式匹配算法進(jìn)行匹配次數(shù)和比較的字符個(gè)數(shù)實(shí)驗(yàn)，得到如下數(shù)據(jù)（表中的數(shù)據(jù)是匹配次數(shù)比較的字符個(gè)數(shù)）如表6所示：

表 6 多模式匹配算法比較

其中，主串字符是隨機(jī)的，給定3個(gè)模式串并且 P1和 P3在主串中。從上表可以看出AC、AC-BM兩種多模式匹配算法中 AC-BM算法最快。

4 總結(jié)

本文重點(diǎn)論述了病毒檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)技術(shù),主要討論了以下幾個(gè)部分:

（1）分析了當(dāng)前計(jì)算機(jī)病毒的主要特點(diǎn)以及預(yù)防查殺病毒的技術(shù),并總結(jié)了其優(yōu)缺點(diǎn)。

（2）采用面向?qū)ο蟮某绦蚍椒ㄔO(shè)計(jì)和實(shí)現(xiàn)了病毒檢測(cè)系統(tǒng)，對(duì)檢測(cè)系統(tǒng)的體系結(jié)構(gòu)，系統(tǒng)實(shí)現(xiàn)的關(guān)鍵技術(shù)，基本的功能模塊，各模塊之間的關(guān)系以及各模塊的流程等進(jìn)行了詳細(xì)的設(shè)計(jì)。

（3）針對(duì)二進(jìn)制可執(zhí)行病毒，腳本病毒和宏病毒提出了相應(yīng)的特征提取方案，設(shè)計(jì)了一個(gè)簡(jiǎn)單蜜罐系統(tǒng)來(lái)獲取病毒樣本，并利用反匯編工具W32Dasm對(duì)PE格式的病毒樣本進(jìn)行了特征提取實(shí)驗(yàn)。

（4）詳細(xì)分析了 PE文件格式，總結(jié)了一系列與 PE文件頭節(jié)表有關(guān)的染毒標(biāo)志性行為，并針對(duì) PE 文件的行為特征對(duì)引擎進(jìn)行了改進(jìn)。

（5）通過(guò)掃描計(jì)算機(jī)病毒攻擊的關(guān)鍵位置以及使用高效的模式匹配方法加快引擎的掃描速度。

（6）對(duì)系統(tǒng)已實(shí)現(xiàn)的功能模塊進(jìn)行了測(cè)試，通過(guò)測(cè)試實(shí)驗(yàn)證明本系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)方案是可行的，有效的。

本課題在很多方面還存在不足和值得改進(jìn)的地方，在今后的研究中還需要進(jìn)一步完善。

[1] 鄭羽,楊春生,于江加密與解密實(shí)戰(zhàn)入門(mén).北京:電子工業(yè)出版社,2006.10,1～78.

[2] 鄭偉.網(wǎng)絡(luò)環(huán)境中的信息安全技術(shù)[J].信息安全與技術(shù),2011,(11).

[3] 何爽.淺談?dòng)?jì)算機(jī)病毒及其防范[J].才智,2010,(13).

[4] 張基溫.信息系統(tǒng)安全原理.北京:中國(guó)水利水電出版社,2005.1,135～138.

[5] 鄧平,鐘新松,趙祖應(yīng). 基于Windows環(huán)境的木馬手工查殺通用方法[J]. 辦公自動(dòng)化, 2010,(20).

[6] 黃茜.基于行為分析的代碼危害性評(píng)估技術(shù)研究[D].解放軍信息工程大學(xué),2010.

Research of the Computer Virus and Anti-Virus Detecting System

Li Dan
(Shaanxi Xueqian Normal University, Xi’an710100,China)

The characteristics of computer viruses and anti-virus techniques are analyzed thoroughly in this thesis. Nowadays there are some advanced anti-virus techniques, such as real-time scanning, heuristic code scanning, virtual machine and active kernel technique etc. But now the anti-virus software mostly based on character code method, so this thesis gives a detailed description of detection idea and how to construct the virus detection system based on character code method. For binary executables files, to speed up virus detection by scanning only the common location of computer viruses (such as entry-point jump and call instructions etc.) of a file, rather than the entire file. First, the technique of character code from binary executables virus script and macro viruses are analyzed in this thesis. Then design a simple honey pot system to obtain the computer virus sample, and do characters distill experiment for PE format virus sample using W32Dasm which is a tool of disassembly. Second, this thesis makes some improvement in the engine to resolve the problem that unknown viruses can not be detected by character code. By analyzing PE file format, a series of making conducts which are correlative to the header of PE files and the tables of sections have been designed, and the detection efficiency enhanced when it combines the two methods.

Virus Detecting Machine; Character Code; PE File; Matching Principle

TP311

A

2014.06.18）

李 丹（1971-），女，陜西學(xué)前師范學(xué)院，工程師，研究方向：多媒體技術(shù)及其應(yīng)用，西安，710100

1007-757X(2014)08-0052-04