??? 摘 要：計(jì)算機(jī)病毒發(fā)展日新月異,，而殺毒軟件的產(chǎn)生存在滯后性,。也就是說,，借助現(xiàn)有的殺毒軟件檢測(cè)系統(tǒng)是否感染了新現(xiàn)病毒是件比較棘手的事。本文基于加,、解殼原理和病毒運(yùn)行流程,，提出了一種新的判斷方法。首先對(duì)干凈文件加防病毒保護(hù)殼,，待運(yùn)行該文件時(shí),，文件自動(dòng)解殼判斷是否已感染病毒，并進(jìn)行相應(yīng)處理,，最后用Delphi編程實(shí)現(xiàn),，同時(shí)利用該WinHex查看加殼后的結(jié)果。實(shí)踐證明,，該保護(hù)殼具有可用性,。
??? 關(guān)鍵詞：加、解殼原理,；病毒運(yùn)行流程,；防病毒保護(hù)殼；Delphi

?

??? 自然界中植物用殼來保護(hù)種子,，動(dòng)物用殼來保護(hù)身體,。同樣,，在一些計(jì)算機(jī)軟件里也有一段專門負(fù)責(zé)保護(hù)軟件不被非法修改或反編譯的程序。它們一般都是先于程序運(yùn)行,，拿到控制權(quán),。就像動(dòng)植物的殼一般都是在身體外面一樣理所當(dāng)然。從功能上看,，軟件的殼和自然界中的殼相差無幾,，無非是保護(hù)、隱蔽殼內(nèi)的東西,，而從技術(shù)的角度出發(fā),，殼是一段執(zhí)行于原始程序前的代碼。本設(shè)計(jì)所涉及的防病毒保護(hù)殼,，就其本質(zhì)來看就是一種“良性病毒”,，它保護(hù)軟件，提醒用戶“可能感染了某種病毒”,。
1 設(shè)計(jì)思路
??? 校驗(yàn)法是對(duì)正常文件的內(nèi)容,，計(jì)算其校驗(yàn)和，將該校驗(yàn)和寫入文件中或?qū)懭肫渌募斜４?。在文件使用過程中,，定期地或每次使用文件前檢查文件現(xiàn)在內(nèi)容算出的校驗(yàn)和與原來保存的校驗(yàn)和是否一致，因而可以發(fā)現(xiàn)文件是否感染,。但是由于病毒感染,，修改了文件的某些信息，可能導(dǎo)致文件不能正常運(yùn)行,。所以,，校驗(yàn)法僅能較好地檢測(cè)病毒，而不能保護(hù)正常文件,。
??? 本文設(shè)計(jì)的防病毒保護(hù)“殼”,，其基本思想和校驗(yàn)法相似，并在某些方面進(jìn)行了改進(jìn),。
??? 防病毒保護(hù)“殼”的本質(zhì)是一種良性“病毒”,。它和病毒在某些方面有點(diǎn)類似，都在宿主程序運(yùn)行之前獲取控制權(quán),。但是,，它對(duì)宿主程序沒有破壞性。而病毒感染文件主要表現(xiàn)為文件的文件名,、路徑名或文件大?。ú《靖街诒桓腥疚募希┑母淖兓蚱渌嚓P(guān)變化。為此,，設(shè)計(jì)了一種防病毒保護(hù)殼,，它能判斷文件相關(guān)屬性的變化,，能完成自動(dòng)脫“殼”功能。
2 具體實(shí)現(xiàn)步驟
??? 當(dāng)文件（PE文件）未被感染前,，就給它加防病毒保護(hù)“殼”,。
??? 設(shè)保護(hù)殼大小C，加殼標(biāo)記和感染標(biāo)記均為4個(gè)字節(jié),，加殼前文件路徑和文件名為A1,、大小為A2。
??? 當(dāng)運(yùn)行加殼后的文件(路徑和文件名為E1,、大小為E2)時(shí),，若被病毒體感染，該病毒體剝離出文件(如圖1,、圖2所示),，并運(yùn)行之。剝離出的文件運(yùn)行時(shí),，保護(hù)殼首先獲得控制權(quán),，比較E1與A1,E2與(A2+C+4)是否相等。倘若E1與A1不等,，可能是某種病毒對(duì)加殼文件進(jìn)行了移動(dòng)操作；倘若,E2與(A2+C+4)不等,，可能是因?yàn)槠渌牟《緦⒓託ず蟮奈募M(jìn)行“包裹”,，這時(shí)彈出“發(fā)現(xiàn)可疑病毒”；若相等,，則剝離出原文件,，然后創(chuàng)建一個(gè)新的進(jìn)程運(yùn)行之，運(yùn)行完畢后自動(dòng)終止自己,。

?

3 具體測(cè)試
3.1 防病毒保護(hù)殼測(cè)試
??? 對(duì)“F:calc.exe”加殼后運(yùn)行,。
??? 測(cè)試中需要使用16進(jìn)制觀察器WinHex.查看加殼后的結(jié)果。
??? 從圖3可以得出被加殼的文件名為F:calc.exe,，大小為0001C000H(即114 688字節(jié)),，加殼標(biāo)記為66666666H。加殼后的文件大小為7CC6BH字節(jié),。

?

?

??? 雙擊運(yùn)行加殼后文件的截圖如圖4所示,，若加殼后文件的路徑、名字改變,，雙擊運(yùn)行時(shí)會(huì)提示“發(fā)現(xiàn)可疑病毒”,，可能是被某些病毒“搬移”了。為了看到效果,，我便人為地改變了加殼后的文件路徑,，如圖5所示,。

?

?

?

3.2 UPX壓縮文件測(cè)試
??? 選用UPX壓縮工具的主要目的是壓縮防病毒保護(hù)殼（AddShell.exe）。另外,，在一定程度上能保護(hù)該“殼”,，防止被惡意竊取或修改。防病毒保護(hù)殼壓縮前,、后截如圖6,、圖7所示，圖8,、圖9分別為利用壓縮后的“殼”處理文件及利用未壓縮“殼”處理文件后情況,。

?

?

?

?

?

??? 從圖9觀察得出，使用未壓縮殼處理calc.exe后文件大小為207 KB,，而使用壓縮殼處理后卻變?yōu)榱?55 KB,，達(dá)到了預(yù)期的效果。
??? 防病毒保護(hù)殼的優(yōu)點(diǎn)為它既可以發(fā)現(xiàn)已知病毒又可以發(fā)現(xiàn)未知病毒,，在一定程度上起到保護(hù)軟件不被非法修改,、提醒用戶及時(shí)查殺病毒等作用。
??? 缺點(diǎn)是病毒感染并非文件相關(guān)信息(路徑名,、文件名,、大小)改變的惟一的非他性原因，有可能是正常程序引起的,，所以,，該防病毒保護(hù)“殼”會(huì)出現(xiàn)誤報(bào)警的情況。另外,，考慮到病毒的多樣性,，對(duì)于出現(xiàn)“可疑病毒”的情況，尚未進(jìn)行相應(yīng)處理,。
參考文獻(xiàn)
[1]?陳健偉,，朱梅．計(jì)算機(jī)病毒與反病毒技術(shù)研究[J]．電子與電信，2006, 12(34).
[2]?張桂勇,，陳芳瓊．APIforWindows2000/XP詳解[M]. 北京：清華大學(xué)出版社,，2003.
[3]?楊華民,梁水.Delphi函數(shù)參考大全[M]. 北京：人民郵電出版社，2006.