我想为学习目的编写AntiVirus代码。它将基于签名。我已经编写了一个扫描程序,它遍历所有系统文件并为每个文件创建内存映射。我现在要做的是从每个恶意文件(示例文件)中获取二进制签名(十六进制),以便我可以将其与我创建的数据库进行比较。 现在有什么问题? 我注意到像Kaspersky这样的商业AntiViruses,从二进制文件中的任何位置选择文件签名。 现在假设我检测到一个新的恶意文件,我选择了偏移量0x8766,其值为0x4F作为该恶意文件的签名。 现在如果我想检查一个具有小尺寸的文件,其中偏移0x8766在该小文件中不存在..这将是一个问题?! 这是示例代码代表我的方式:
hFile = ::CreateFile(State.Path, GENERIC_READ, FILE_SHARE_READ | FILE_SHARE_WRITE,
0, OPEN_EXISTING,FILE_FLAG_SEQUENTIAL_SCAN, 0);//open the file
if(hFile !=INVALID_HANDLE_VALUE){
hMap= ::CreateFileMapping(hFile, 0, PAGE_READONLY | SEC_COMMIT, 0, 0, 0);//create Mem mapping for the file in virtual memory
if( hMap!=NULL){
base = ::MapViewOfFile(hMap, FILE_MAP_READ, 0, 0, 0);//load the mapped file into the RAM
//start to compare some bytes (values) from mspaint.exe file in Win7
if( *((BYTE *)base + 0x1C3DF0)== 0x05 )
i++;
if( *((BYTE *)base + 0x25250C)== 0x21 )
i++;
if( *((BYTE *)base + 0x25272A)== 0x97 )
i++;
if(i==3){
// the file is malicious
}
另一个问题:在开始比较之前,我是否需要在ram中映射整个签名数据库? 你建议签名需要包含什么?文件大小......等?任何其他建议
答案 0 :(得分:1)
签名通常不会太大,您可以像this一样搜索它们。但是,请记住,如果您获得数十万个签名(或更多),则重新开始检查每个单独文件上的不同签名变得不切实际。您可以说启发式使用每个签名的级别来决定是否进行下一级别检查以确认或拒绝匹配。
这些签名将非常复杂,即描述受感染文件的类型,可能的偏移位置等,从而采用分层(或过滤)方法达到明确的结论。