卡巴斯基(AVP)内存驻留型病毒检测方法

　　三、实例：

　　简单举例，比如这个病毒(网上找的一个感染COM文件的代码片段)：

　　cmp ah,3dh

　　jz short @@Infect_File ;截获3d号Dos功能

　　@@JmpOldInt21:

　　cli

　　JmpFar db 0eah

　　@@Infect_File：

　　....

　　编译后应该是这个样子：

　　13B6:0100 80FC 3D CMP AH,3Dh

　　13B6:0104 74 xx JE Infect_File

　　13B6:0107 FA CLI

　　13B6:0108 xx xx XXX

　　对于这个病毒的检测和清除，我们生成一记录，这个病毒记录在AVP库record中，可以是这种形式，它完全可以检测和解除该病毒的活性：

　　搜索方法：中断跟踪

　　地址偏移：1000:0000

　　匹配字节：80FC

　　特征长度：6

　　特征：xxxxxxxx

　　专用处理过程：NULL

　　处理偏移地址：3

　　处理字节长度：2

　　修复字节：90 90

　　通过这样一个检测、修复库记录，AVP就可以检测和修复内存中驻留的活性病毒，然后在通过单独的文件病毒检测/修复等处理过程来全面清除磁盘文件中的病毒。

　　本文是(Avp Reverse Engineering)AVP逆向学习系列一节，所分析的方法在不同版本中略有不同，而基于AVP的良好架构，这些改变主要体现的处理方法的增删，和结构长度变化。