木马检测工具的设计与实现(VC++)

C++木马检测工具的设计与实现

1.1 木马检测的实现方法

特征码技术被作为反病毒技术中最基本的技术沿用至今，也是到目前为止各类反病毒软件仍普遍采用的技术。 本文来自think58 [资料来源：www.THINK58.com]

“特征码”是一串信息，它能唯一标识某一非法程序(如病毒、木马等)。研究人员通过对非法程序样本的分析，提取出“特征码”写入反病毒软件的特征码库。特征码技术的基本原理就是在待测文件中查找特征码，一旦查找到，就判定该文件是非法程序或包含了非法程序，并作相应的处理。

基于特征码的静态扫描便是对特征码技术最直接的应用，目前的各类反病毒软件均具备这项基本功能，它对用户指定的某个或某几个文件进行扫描，以确定是否包含非法程序的特征码。据有吻合之处，就可以判定该数据文件己遭病毒感染。特征代码法的实现步骤如下(1)采集己知病毒样本。如果病毒既感染COM文件，又感染EXE文件，那么要对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。(2)在病毒样本中，抽取病毒特征代码。对于既感染COM文件又感染EXE文件的病毒样本，要抽取两种样本共有的代码。(3)将特征代码存入病毒库。(4)检测文件。打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码，查询病毒特征代码就可以知道所感染的病毒类型。在具体实现时，它最初是采用对待测文件全部扫描的方式，在病毒等非法程序出现的早期，非法程序的种类不过数百种，采用这种扫描方式还是比较快捷的，但在目前病毒、木马、蠕虫及其变种的总数超过60000的情况下，这种方式显然是效率低下的。为此，采用了一些用来提高特征码扫描效率的技术。因为木马文件一个很明显的特征就是它的文件名和大小，所以通过这两个特征来作为静态查杀的初步选择。另外就是取文件的MD5值来进行查杀，先对扫描文件进行MD5计算，然后根据得到的MD5值与库中特征码进行比较，如果相同就进行处理。

本文来自think58

think58.com

1.3.1 PE文件静态信息的提取和特征码的设置

PE文件是Portable Executable file(可移植的执行文件)的简称，它是Window、环境自带的可执行文件的标准格式，它的一些特性继承了Unix的Coff (Common Object File Format)文件格式。“Portable Executable”意味着此文件格式是跨win32平台的：即使Window、运行在非Intel的CPU上，任何win32平台下的PE装载器都能识别和使用该文件格式。当然，移植到不同的CPU上PE执行文件必然得有一些改变。所有win32执行程序(除了VxD和16位的DLL外)都使用PE文件格式，包括NT的内核模式驱动程序。

think58.com

[版权所有：http://think58.com]

PE文件主体结构如图2所示。

think58.com

[资料来源：THINK58.com]

PE文件使用的是一个平面地址空间，所有代码和数据都被合并在一起，组成一个很大的结构。文件的内容被分割为不同的区块(Section，又称区段、节)，区块中包含代码或数据，各个区块按页边界对齐，区块没有大小限制，是一个连续结构。每个区块都有它自己在内存中的一套属性，如该区块是否包含代码、是否只读或可读/写等。 [资料来源：http://think58.com]