各位好， 我是八尾半。 熟悉我的人大概都知道， 我曾經發過很多反病毒原理的文字， 什么長短內容比較法， 內存和中斷比較法， 特征碼定義掃描原理， 還有行為監測診斷原理等等， 上周呢， 我剛剛把軟件模擬診斷原理的教程給各位制作完成， 正在校對過程中， 相信很快就會和各位見面， 今天呢， 我給各位說一說很多人都不曾一見的新東西—計算機病毒分析診斷原理。

其實呢， 剛才我提到的那些方法， 無論是中斷比較法還是特征碼定義掃描法， 那都是分析病毒的方法， 但是我們不是為分析病毒而分析病毒， 我們分析病毒有6個目的。

1、  1確認磁盤引導區和程序中是不是存在病毒。

2、  2確認病毒的種類， 看看它是一個新的病毒還是舊病毒的變種。

3、  3弄明白病毒的大概的結構。

4、  4提取到可以用來特征識別的特征字符串。 （具體請參考特征碼定義掃描原理）

5、  5詳細分析病毒的代碼。

6、  6嘗試為反病毒手段提供參考方案。

突然發現剛剛寫的6個目的好像就是分析工作的工作順序。 但是說呢， 分析法要求你的分析能力要很強， 而且還要有很多有關PC， DOS結構和功能調用和很多系統原理以及病毒與反病毒相關的東西才可以勝任這個工作。

各位不要為我上面的文字嚇到， 一定要堅定的把這個東西看完.......

要分析病毒， 我們要有一個專業的大腦， 還有專業的工具和專業的計算機。 當然了...要擁有一個和瑞星， 金山那種大公司一樣的反病毒實驗室顯然是不太現實(給我500萬美金， 我也建一個)

繼續說..即使是神級的反病毒技術天才， 使用最好的分析軟件也不太可能在短時間把代碼分析清楚， 而且這里的風險是有的， 因為病毒可能在分析的過程中繼續傳染或者發作...乃至硬盤里的數據完全損壞。 所以呢， 這種實驗必須要在專業的實驗機器上進行， 甚至在沒有足夠條件的時候， 分析工作就不能開始， 或者說， 沒有條件， 我就是不動。

另外， 很多的病毒在技術上都采用了抗跟蹤， 加密等等的技術， 這樣就讓分析工作變得異常的枯燥和漫長， 特別是那種上來就10KB， 20KB的以上的代碼， 與系統的聯系很深很深， 要做剖析的話真的可以砸鍵盤了..。

下面說說兩種分析方法， 動態和靜態。

先說靜態..這個簡單， 就是利用DEBUG把病毒代碼打印成反匯編后的程序清單進行分析， 看看病毒分什么模塊， 用什么系統調用， 搞了什么技巧等等..

動態， 這個比較復雜了， 要用DEBUG等調試工具在內存有毒的情況下， 進行動態的跟蹤， 觀察具體的工作情況和過程， 在靜態為基礎的理解上， 去分析理解一個木馬病毒的工作原理。 這個尤其是在病毒采用的手段特別多的時候， 必須要先靜后動， 才能完整分析。 有的時候甚至...如果不對病毒的解密程序進行動態分析， 病毒的靜態分析就沒有辦法進行。