AVP搜索方法
二、搜索方法:
有上面可以看出,AVP能否保证快速处理,一个关键因素是AVP的搜索方法,事实上,AVP内置了众多的搜索办法,这些办法适用于MSDOS、WIN9X、WINNT/2000/XP等系统。AVP对一个病毒的处理可以采用多种内存搜索办法,所不同的是哪种方法高效一些而已。
1、绝对地址:
AVP采用绝对地址的扫描办法来扫描一些病毒,扫描器从库记录中读出相应的地址记录,到内存中进行匹配,匹配上后,进行修复处理过程。
2、段扫描:
AVP从一个内存段,单字节循环递增,从开始扫描到段结束。
3、全部扫描:
AVP从内存地址0x00000000h开始,循环递增,进行全内存匹配的扫描方法。
4、专用模块:
这是针对一些特定的"狡猾"病毒的方法。当AVP自己定义的正常扫描和检测办法无法正确识别的时候,采用一个专用的处理模块来检测清除该病毒,该模块编写完成后,编译为obj格式的文件,存储在AVP的库记录中。
卡饭安软交流中心
5、中断跟踪:
这主要是AVP For DOS的扫描方法,通过对系统的中断INT21、INT13的来定位驻留内存的病毒代码,通过对这些指令附近的代码修改,使得病毒失去活性。
此文出自:http://bbs.pcunit.cn
网友评论