请帮助我使用恶意行为检测程序进行病毒检测

Question

我知道防病毒如何检测病毒.我读了几篇文章:

防病毒程序如何检测病毒？

http://www.antivirusworld.com/articles/antivirus.php

http://www.agusblog.com/wordpress/what-is-a-virus-signature-are-they-still-used-3.htm

http://hooked-on-mnemonics.blogspot.com/2011/01/intro-to-creating-anti-virus-signatures.html

在这一个月的假期里,我有.我想学习和编写一个简单的病毒检测程序:所以,有2-3种方法(来自上面的文章):

1. 病毒词典:搜索病毒签名
2. 检测恶意行为

我想采取第二种方法.我想从简单的事情开始.

作为旁注,最近我遇到了一个名为" ThreatFire " 的软件.它做得很好.

1. 我不明白的第一件事是这个程序如何在另一个之间插入另一个程序并提示用户关于它的动作.这不是违规吗？
2. 它如何扫描其他程序的内存？程序仅限于其虚拟空间吗？
3. C#.NET是否适合做这种事情？
4. 请发表您的想法如何去做？还要提一些我能做的简单事情.

Answer 1

1. 发生这种情况是因为有问题的软件可能安装了一个特殊的驱动程序,允许它进行低级内核访问,从而允许它拦截和拒绝各种潜在的恶意行为.

2. 通过拥有许多驱动程序所具有的权限,这使其能够扫描另一个进程内存空间.

3. 不,C#需要已经加载的操作系统的很大一部分.驱动程序需要先加载.

4. 了解驱动程序和内核级编程...我没有这样做,所以我在这里得不到更多的帮助.