开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > 系统/网络安全 > 杀毒 > 查看源码
VirusDB.cpp
资源名称:BAV.v2.rar [点击查看]
上传用户:chaoyu
上传日期:2013-04-28
资源大小:18k
文件大小:8k
源码类别:

杀毒

开发平台:

Visual C++

VirusDB.cpp:源码内容
  1. #include "StdAfx.h"
  2. #include "VirusDB.h"
  3. #include "ScanObject.h"
  4. #include "ParsePE.h"
  6. CVirusDB::CVirusDB(void)
  7. {
  8. }
  10. CVirusDB::~CVirusDB(void)
  11. {
  12. }
  14. bool CVirusDB::Load(const char* pszDBFile)
  15. {
  16. // not really load from file at this version
  18. PVRECORD pVRecord;
  19. /*
  20. //////////////////////////////////////////////////////////////////////////
  21. //
  22. // add standard eicar virus
  23. //
  24. pVRecord = new VRECORD;
  25. if(pVRecord==NULL)
  26. return false;
  28. pVRecord->nSize = sizeof(VRECORD);
  29. pVRecord->dwVirusID = 1;
  30. pVRecord->dwSignCount = 3;
  31. pVRecord->dwTreatCount = 0;
  33. static VSIGNATURE aVSign1[3]=
  34. {
  35. // Orig. Offset: 0
  36. //       Length: 32 / 0x00000020 (bytes)
  37. {
  38. BS_PHY_FILE, 0, 0, 32, BL_EQUAL, 
  39. 0x58, 0x35, 0x4F, 0x21, 0x50, 0x25, 0x40, 0x41, 0x50, 0x5B, 0x34, 0x5C, 0x50, 0x5A, 0x58, 0x35, 
  40. 0x34, 0x28, 0x50, 0x5E, 0x29, 0x37, 0x43, 0x43, 0x29, 0x37, 0x7D, 0x24, 0x45, 0x49, 0x43, 0x41, 
  41. },
  42. // Orig. Offset: 32
  43. //       Length: 32 / 0x00000020 (bytes)
  44. {
  45. BS_PHY_FILE, 0, 32, 32, BL_EQUAL,
  46. 0x52, 0x2D, 0x53, 0x54, 0x41, 0x4E, 0x44, 0x41, 0x52, 0x44, 0x2D, 0x41, 0x4E, 0x54, 0x49, 0x56, 
  47. 0x49, 0x52, 0x55, 0x53, 0x2D, 0x54, 0x45, 0x53, 0x54, 0x2D, 0x46, 0x49, 0x4C, 0x45, 0x21, 0x24, 
  48. },
  49. // Orig. Offset: 64 / 0x00000000
  50. //       Length: 4 / 0x00000004 (bytes)
  51. {
  52. BS_PHY_FILE, 0, 64, 4, BL_EQUAL,
  53. 0x48, 0x2B, 0x48, 0x2A, 
  54. },
  55. };
  57. for(int i=0; i<pVRecord->dwSignCount; i++)
  58. {
  59. PVSIGNATURE pSign = new VSIGNATURE;
  60. if(pSign)
  61. {
  62. *pSign = aVSign1[i];
  63. pVRecord->pVSing[i] = pSign;
  64. }
  65. else
  66. {
  67. pVRecord->pVSing[i] = NULL;
  68. }
  69. }
  71. m_listVRecords.push_back(pVRecord);
  73. //////////////////////////////////////////////////////////////////////////
  74. //
  75. // add notepad.exe as a fake virus
  76. //
  77. pVRecord = new VRECORD;
  78. if(pVRecord==NULL)
  79. return false;
  81. pVRecord->nSize = sizeof(VRECORD);
  82. pVRecord->dwVirusID = 2;
  83. pVRecord->dwSignCount = 4;
  84. pVRecord->dwTreatCount = 0;
  86. static VSIGNATURE aVSign2[4]=
  87. {
  88. // Orig. Offset: 256
  89. //       Length: 32 / 0x00000020 (bytes)
  90. {
  91. BS_PHY_FILE, 0, 256, 32, BL_EQUAL,
  92. 0x00, 0x88, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x9D, 0x73, 0x00, 0x00, 0x00, 0x10, 0x00, 0x00, 
  93. 0x00, 0x90, 0x00, 0x00, 0x00, 0x00, 0x00, 0x01, 0x00, 0x10, 0x00, 0x00, 0x00, 0x02, 0x00, 0x00, 
  94. },
  95. // Orig. Offset: 1952
  96. //       Length: 32 / 0x00000020 (bytes)
  97. {
  98. BS_PHY_FILE, 0, 1952, 32, BL_EQUAL,
  99. 0x4E, 0x00, 0x70, 0x00, 0x45, 0x00, 0x6E, 0x00, 0x63, 0x00, 0x6F, 0x00, 0x64, 0x00, 0x69, 0x00, 
  100. 0x6E, 0x00, 0x67, 0x00, 0x44, 0x00, 0x69, 0x00, 0x61, 0x00, 0x6C, 0x00, 0x6F, 0x00, 0x67, 0x00, 
  101. },
  102. // Orig. Offset: 31776
  103. //       Length: 32 / 0x00000020 (bytes)
  104. {
  105. BS_PHY_FILE, 0, 31776, 32, BL_EQUAL,
  106. 0x4E, 0x00, 0x6F, 0x00, 0x74, 0x00, 0x65, 0x00, 0x70, 0x00, 0x61, 0x00, 0x64, 0x00, 0x00, 0x00, 
  107. 0xFF, 0xFF, 0xFF, 0xFF, 0x01, 0x00, 0x00, 0x00, 0x02, 0x00, 0x00, 0x00, 0x03, 0x00, 0x00, 0x00, 
  108. },
  109. // Orig. Offset: 65184
  110. //       Length: 32 / 0x00000020 (bytes)
  111. {
  112. BS_PHY_FILE, 0, 65184, 32, BL_EQUAL,
  113. 0x6E, 0x00, 0x74, 0x00, 0x65, 0x00, 0x72, 0x00, 0x6E, 0x00, 0x61, 0x00, 0x6C, 0x00, 0x4E, 0x00, 
  114. 0x61, 0x00, 0x6D, 0x00, 0x65, 0x00, 0x00, 0x00, 0x4E, 0x00, 0x6F, 0x00, 0x74, 0x00, 0x65, 0x00, 
  115. }
  116. };
  118. for(int i=0; i<pVRecord->dwSignCount; i++)
  119. {
  120. PVSIGNATURE pSign = new VSIGNATURE;
  121. if(pSign)
  122. {
  123. *pSign = aVSign2[i];
  124. pVRecord->pVSing[i] = pSign;
  125. }
  126. else
  127. {
  128. pVRecord->pVSing[i] = NULL;
  129. }
  130. }
  132. m_listVRecords.push_back(pVRecord);
  133. */
  134. //////////////////////////////////////////////////////////////////////////
  135. //
  136. // add CIH virus
  137. //
  138. pVRecord = new VRECORD;
  139. if(pVRecord==NULL)
  140. return false;
  142. pVRecord->nSize = sizeof(VRECORD);
  143. pVRecord->dwVirusID = 3;
  144. pVRecord->dwSignCount = 3;
  145. pVRecord->dwTreatCount = 0;
  147. static VSIGNATURE aVSign3[3]=
  148. {
  149. {
  150. BS_STRUCT_OFFSET, BS_SUB_NT_HEADERS, -1, 1, BL_NOT_EQUAL, 
  151. 0x00
  152. },
  153. {
  154. BS_STRUCT_OFFSET, BS_SUB_ENTRY_POINT, 0, 32, BL_EQUAL, 
  155. // 00000270                 push    ebp
  156. // 00000271                 lea     eax, [esp+var_8]
  157. // 00000275                 xor     ebx, ebx
  158. // 00000277                 xchg    eax, fs:[ebx]
  159. // 0000027A                 call    $+5
  160. // 0000027F                 pop     ebx
  161. // 00000280                 lea     ecx, [ebx+42h]
  162. // 00000283                 push    ecx
  163. // 00000284                 push    eax
  164. // 00000285                 push    eax
  165. // 00000286                 sidt    qword ptr [esp-2]
  166. // 0000028B                 pop     ebx
  167. // 0000028C                 add     ebx, 1Ch
  168. // 0000028F                 cli
  169. // Orig. Offset: 0 (from entry point)
  170. //       Length: 32 / 0x00000020 (bytes)
  171. 0x55, 0x8D, 0x44, 0x24, 0xF8, 0x33, 0xDB, 0x64, 0x87, 0x03, 0xE8, 0x00, 0x00, 0x00, 0x00, 0x5B, 
  172. 0x8D, 0x4B, 0x42, 0x51, 0x50, 0x50, 0x0F, 0x01, 0x4C, 0x24, 0xFE, 0x5B, 0x83, 0xC3, 0x1C, 0xFA, 
  173. },
  174. {
  175. BS_STRUCT_OFFSET, BS_SUB_ENTRY_POINT, 137, 27, BL_EQUAL, 
  176. // 000002F9                 VMMCall _PageAllocate
  177. // 000002FF                 add     esp, 20h
  178. // 00000302                 xchg    eax, edi
  179. // 00000303                 lea     eax, [esi-63h]
  180. // 00000306                 iret
  181. // 00000307                 lea     eax, [edi-309h]
  182. // 0000030D                 push    eax
  183. // 0000030E                 VxDCall IFSMgr_InstallFileSystemApiHook
  184. // 00000314                 mov     dr0, eax
  185. // Orig. Offset: 137 (from entry point)
  186. //       Length: 27 / 0x0000001B (bytes)
  187. 0xCD, 0x20, 0x53, 0x00, 0x01, 0x00, 0x83, 0xC4, 0x20, 0x97, 0x8D, 0x46, 0x9D, 0xCF, 0x8D, 0x87, 
  188. 0xF7, 0xFC, 0xFF, 0xFF, 0x50, 0xCD, 0x20, 0x67, 0x00, 0x40, 0x00, 
  189. },
  190. };
  192. for(int i=0; i<pVRecord->dwSignCount; i++)
  193. {
  194. PVSIGNATURE pSign = new VSIGNATURE;
  195. if(pSign)
  196. {
  197. *pSign = aVSign3[i];
  198. pVRecord->pVSing[i] = pSign;
  199. }
  200. else
  201. {
  202. pVRecord->pVSing[i] = NULL;
  203. }
  204. }
  206. m_listVRecords.push_back(pVRecord);
  208. return true;
  209. }
  211. bool CVirusDB::Unload()
  212. {
  213. list<PVRECORD>::iterator iter = m_listVRecords.begin();
  215. while(iter!=m_listVRecords.end())
  216. {
  217. PVRECORD pVRec = *iter;
  218. if(pVRec)
  219. {
  220. for(unsigned int i=0; i<pVRec->dwSignCount; i++)
  221. {
  222. PVSIGNATURE pVSing = pVRec->pVSing[i];
  223. if(pVSing)
  224. delete pVSing;
  225. }
  226. delete pVRec;
  227. }
  229. iter++;
  230. }
  231. return true;
  232. }
  234. // search()方法放在CVirusDB中是考虑到病毒库的内部组织可以是不同的。
  235. // 例如,在这个简单的例子中,病毒库是一个list,改为tree效率应该更高。
  236. // 将特征匹配的管理也放在CVirusDB是考虑到不同的病毒库可以有不同的匹配方法。
  237. DWORD CVirusDB::Search(CScanObject* pScanObj)
  238. {
  239. list<PVRECORD>::iterator iter = m_listVRecords.begin();
  241. while(iter!=m_listVRecords.end())
  242. {
  243. PVRECORD pVRec = *iter;
  244. ASSERT(pVRec);
  245. if(pVRec)
  246. {
  247. bool bVirus = true;
  248. for(unsigned int i=0; i<pVRec->dwSignCount; i++)
  249. {
  250. PVSIGNATURE pVSing = pVRec->pVSing[i];
  251. switch(pVSing->eType)
  252. {
  253. case BS_PHY_FILE:
  254. bVirus &= pScanObj->Compare(pVSing->nOffset, pVSing->nSize, pVSing->Signature, pVSing->eLogicOp);
  255. break;
  256. case BS_STRUCT_OFFSET:
  257. {
  258. // determine which parser we need
  259. if(pVSing->dwSubType>=BS_SUB_PE_BEGIN && pVSing->dwSubType<=BS_SUB_PE_END)
  260. {
  261. // PE parser need BO_MEM_FILE object
  262. if(pScanObj->GetObjType()!=BO_MEM_FILE)
  263. {
  264. ASSERT(false);
  265. bVirus = false;
  266. }
  267. FSPE stFSPE;
  268. CParsePE cParser;
  269. if( cParser.BasicParse((CMemFileObject*)pScanObj, &stFSPE) )
  270. {
  271. switch(pVSing->dwSubType)
  272. {
  273. case BS_SUB_NT_HEADERS:
  274. bVirus &= pScanObj->Compare((LPBYTE)stFSPE.m_pNtHeaders+pVSing->nOffset, pVSing->nSize, pVSing->Signature, pVSing->eLogicOp);
  275. break;
  276. case BS_SUB_ENTRY_POINT:
  277. bVirus &= pScanObj->Compare((LPBYTE)stFSPE.m_pEntryPoint+pVSing->nOffset, pVSing->nSize, pVSing->Signature, pVSing->eLogicOp);
  278. break;
  279. default:
  280. bVirus = false;
  281. ASSERT(false);
  282. }
  283. }
  284. else
  285. {
  286. bVirus = false;
  287. }
  289. }
  290. else
  291. {
  292. ASSERT(false);
  293. }
  294. }
  295. break;
  296. default:
  297. ASSERT(false);
  298. }
  300. // quit the loop ASAP
  301. if(!bVirus) break;
  302. }
  304. // match all signatures
  305. if(bVirus)
  306. {
  307. return pVRec->dwVirusID;
  308. }
  309. }
  310. else
  311. {
  312. // error
  313. return 0xFFFFFFFF;
  314. }
  316. iter++;
  317. }
  319. // no match record in VirusDB
  320. return 0;
  321. }