一、前言《病毒木马查杀》系列以真实的病毒木马（或统称为恶意程序）为研究对象，通过现有的技术手段对其分析，总结出它的恶意行为，进而制定出相应的应对方法（如编写专杀工具），对其彻底查杀。当然，本系列更多地是讨论如何应对某一个特定的病毒，而不涉及广义的杀毒软件的编写。因为如今杀软的原理非常复杂，并不是一个人就能够完成的，加之我个人水平有限，因此不会涉及杀软编写的问题。不过，我会在以后的文章中在理论层面对此进行分析。在本系列的文章中，对于某一个病毒或木马，我可能会从以下三个方面进行查杀：手动查杀、监测恶意行为编写专杀工具或通过逆向分析其反汇编代码进行彻底查杀。这几种方式通过对病毒的不断深入分析，从而更有效地对抗恶意程序。需要说明的是，手动查杀病毒是比较粗浅的，难以彻底清除病毒，但是有些时候却是快速而有效的。而通过行为对恶意程序进行监测，虽说比手动查杀的效果要好很多，但是有些时候往往也会有些遗漏。所以其实最好的还是通过逆向分析来了解恶意程序，只是这样往往耗时较多。希望本系列的文章能够起到科普作用，让大家打消对病毒木马的恐惧感，使得每一位读者都能成为反病毒的专家。二、病毒分析方法一般来说，除非是感染型病毒，否则是不需要对病毒进行逆向分析的，只需要对病毒进行行为分析就可以编写专杀工具。而如果是感染型病毒，由于需要修复被病毒感染的文件，那么就不能仅仅简单地分析病毒的行为，而必须对病毒进行逆向分析，从而修复被病毒所感染的文件。因此，实际中的分析方法有以下两种：1、行为分析。恶意程序为了达到目的，都有自己的一些特殊的行为，这些特殊的行为是正常的应用程序所没有的。比如把自己复制到系统目录下，或把自己添加进启动项，或把自己的某个DLL文件注入到其它进程中去……这些行为都不是正常的行为。我们拿到一个病毒样本后，通常就是将病毒复制到虚拟机中，然后打开监控工具，比如ProcessMonitor。将各种准备工作做好以后，在虚拟机中把病毒运行起来，看病毒对注册表、对文件进行了哪些操作，连接了哪个IP地址、创建了哪些进程等。通过观察这一系列的操作，就可以写一个程序。只要把它创建的进程结束掉，把它写入注册表的内容删除掉，把新建的文件删除掉，就等于把这个病毒杀掉了。这也是手动查杀病毒所惯用的方法。当然，这整个过程不会像说起来那么容易。2、逆向分析。当恶意程序感染了可执行文件之后，所感染的内容是无法通过行为监控工具发现的。而病毒对可执行文件的感染，有可能是通过PE文件结构中的节与节之间的缝隙来存放病毒代码，也可能是添加一个新节来存放病毒代码。无论是哪种方式，都需要通过逆向的手段进行分析。常用的逆向分析工具有OllyDbg、IDAPro以及WinDBG。三、病毒查杀方法病毒的查杀方法有很多种，在网络安全知识日益普及的今天，在各大杀软公司大力宣传的今天，想必大部分网络安全爱好者对于病毒查杀技术都有一定的了解。当今常见的主流病毒查杀技术有特征码查杀、启发式查杀、虚拟机查杀和主动防御等。1、特征码查杀。特征码查杀是杀软厂商查杀病毒的一种较为原始的方法。它是通过从病毒体内提取病毒特征码，从而识别病毒。但是这种方法只能查杀已知病毒，对于未知病毒则无能为力。2、启发式查杀。静态地通过一系列“带权规则组合”对文件进行判定，如果计算出的值高于某个界限则被认为是病毒，否则不认为是病毒。启发式查杀可以相对有效地识别出病毒---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---但是往往也会出现误报的情况。3、虚拟机查杀。在内存中虚拟一个运行环境用于病毒的运行，根据其行为或释放出的已知病毒特征码，来判断其是否为病毒程序。这个技术用来应对加壳和加密的病毒比较有效，因为这两类病毒在执行时最终还是要自身脱壳和解密的，这样，杀软可以在其现出原形之后进行查杀。4、主动防御。基于程序行为自主分析判断的实时防护技术，不以病毒的特征码作为判断病毒的依据，而是从最原始的病毒定义出发，直接将程序的行为作为判断病毒的依据。主动防御是用软件自动实现了反病毒工程师分析判断病毒的过程...