瑞星杀毒的问题!

怎样让瑞星定时杀毒~

在瑞星界面下 点击设置-详细设置，打开后有个定制任务，勾选定时扫描即可定时扫描定时扫描功能是指在设定的时间瑞星杀毒软件自动启动，对预先设置的扫描目标进行扫描病毒。此功能为用户提供了即使在无人值守的情况下，也能保证计算机防御病毒的安全。发现病毒时: 您可以根据需要选择【询问用户】、【直接杀毒】、【直接删除】、【忽略】杀毒结束后: 您可以根据需要选择【返回】、【退出】、【重启】、【关机】扫描频率：您可以根据需要选择【不扫描】、【每周期一次】、【每周一次】、【每天一次】、【每小时一次】等不同的扫描频率扫描时刻：根据每小时、每天、每周、每月的扫描频率设置，用户可设置相应的时刻进行定时扫描扫描内容设定：在定时扫描时，用户可选择对引导区、内存、邮箱或指定的目录等进行扫描高级设置：通过高级设置，可以对以下内容进行设置：扫描文件类型、未知病毒类型、优化选项、发现病毒时的处理方式、清除失败时的处理方式、杀毒结束时的处理方式和将染毒文件备份到病毒隔离系统失败时的处理方式

瑞星硬实力不过关，和其它软件的兼容性不太好,很多病毒不能识别、阻拦或清除。扫描被压缩加壳 的程序文件速度慢，查毒率和杀毒率的表现都非常不好，杀不干净
推荐试试腾讯电脑管家，它是免费专业安全软件，杀毒管理二合一(只需要下载一份），占内存小，杀毒好，防护好，无误报误杀。拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎！保证杀毒质量

杀毒保护也是很不错的，在上半年内腾讯电脑管家以良好的表现相继斩获Checkmark（西海岸）、AV-Test、AVC、VB100四项国际最权威的反病毒测试，继续包揽国际杀软测试“四大满贯”，处于全球安全软件第一阵营

保护你帐号不说，还帮你游戏加速，QQ升级，还有礼包拿。占内存又小，运行速度快。最重要的是永久免费。
现在出8.5新版了，增加广告过滤、安全沙箱，QQ账号的多维度防护，推荐可以试试哟

PE病毒是指所有感染Windows下PE文件格式文件的病毒.
PE病毒大多数采用Win32汇编编写.
PE病毒对于一个热衷于病毒技术的人来说,是必须掌握的.
只有在PE病毒中,我们才能真正感受到高超的病毒技术.
编写Win32病毒的几个关键
Api函数的获取
不能直接引用动态链接库
需要自己寻找api函数的地址,然后直接调用该地址
一点背景:在PE Loader装入我们的程序启动后堆栈顶的地址是是程序的返回地址,肯定在Kernel中! 因此我们可以得到这个地址,然后向低地址缩减验证一直到找到模块的起始地址,验证条件为PE头不能大于4096bytes,PE header的ImageBase值应该和当前指针相等.
病毒没有.data段,变量和数据全部放在.code段

编写Win32病毒的几个关键
偏移地址的重定位
Call delta
delta: pop ebp
sub ebp,offset delta
那么变量var1的真正偏移地址为:var1+ebp
对PE文件格式的了解
编写Win32病毒的几个关键
病毒如何感染其他文件
在文件中添加一个新节
该新节中添加病毒代码和病毒执行后的返回Host程序的代吗
修改文件头中代码开始执行位置(AddressOfEntryPoint)指向新添加的节,以便程序运行后先执行病毒代码.
PE病毒感染其他文件的方法还有很多,譬如PE病毒还可以将自己分散插入到每个节的空隙中等等,这里不在一一叙述.
PE文件格式一览
Section n
Section ...
Section 2
Section 1
Section table
PE header
DOS stub
DOS MZ header
PE header
Pe header 由三部分组成
字串 "PE\0\0"(Signature)
映像文件头(FileHeader)
可选映像头(OptionalHeader)
字串 "PE\0\0"
Signature 一dword类型,值为50h, 45h, 00h, 00h(PE\0\0). 本域为PE标记,我们可以此识别给定文件是否为有效PE文件.
这个字串在文件中的位置(e_lfanew),可以在DOS程序头中找到它的指针,它占用四个字节,位于文件开始偏移3CH字节中.
映像文件头
该结构域包含了关于PE文件物理分布的信息, 比如节数目,文件执行机器等.
它实际上是结构IMAGE_FILE_HEADER的简称.
映像文件头结构
IMAGE_FILE_HEADER STRUCT
___ Machine WORD
___ NumberOfSections WORD
___ TimeDateStamp dd
___ PointerToSymbolTable dd
___ NumberOfSymbols dd
___ SizeOfOptionalHeader WORD
___ Characteristics WORD
IMAGE_FILE_HEADER ENDS
映像文件头的基本信息
关于文件信息的标记,比如文件是exe还是dll
2
Characteristics *
7
可选头的大小
2
SizeOfOptionalHeader
6
符号数目
4
NumberOfSymbols
5
COFF符号表的偏移
4
PointerToSymbleTable
4
生成该文件的时间
4
TimeDataStamp
3
文件中节的个数
2
NumberOfSection **
2
机器类型,x86为14ch
2
Machine *
1
描述
大小(字节)
名字
顺序
可选映像头
optional header 结构是 IMAGE_NT_HEADERS 中的最后成员.包含了PE文件的逻辑分布信息.该结构共有31个域,一些是很关键,另一些不太常用.这里只介绍那些真正有用的域.
这儿有个关于PE文件格式的常用术语: RVA
RVA 代表相对虚拟地址.它是相对虚拟空间里的一个地址 .
举例说明,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚址401000h开始执行,我们可以说进程执行起始地址在RVA 1000h.每个RVA都是相对于模块的起始VA的.
可选映像头
文件中节对齐的粒度.
FileAlignment
内存中节对齐的粒度.
SectionAlignment
PE文件的优先装载地址.比如,如果该值是400000h,PE装载器将尝试把文件装到虚拟地址空间的400000h处.若该地址区域已被其他模块占用,那PE装载器会选用其他空闲地址.
ImageBase
PE装载器准备运行的PE文件的第一个指令的RVA.若要改变整个执行的流程,可以将该值指定到新的RVA,这样新RVA处的指令首先被执行.
AddressOfEntryPoint *
描述
名字
可选映像头
NT用来识别PE文件属于哪个子系统.
Subsystem
一IMAGE_DATA_DIRECTORY 结构数组.每个结构给出一个重要数据结构的RVA,比如引入地址表等.
DataDirectory
所有头+节表的大小,也就等于文件尺寸减去文件中所有节的尺寸.可以以此值作为PE文件第一节的文件偏移量.
SizeOfHeaders
内存中整个PE映像体的尺寸.
SizeOfImage
win32子系统版本.若PE文件是专门为Win32设计的,该子系统版本必定是4.0否则对话框不会有3维立体感.
MajorSubsystemVersion
MinorSubsystemVersion
描述
名字
DataDirectory数据目录
一个IMAGE_DATA_DIRECTORY数组,里面放的是这个可执行文件的一些重要部分的RVA和尺寸,目的是使可执行文件的装入更快,数组的项数由上一个域给出.IMAGE_DATA_DIRECTORY包含有两个域,如下:
IMAGE_DATA_DIRECTORY
VitualAddress DD
Size DD
IMAGE_DATA_DIRECTORY ENDS
节表
节表其实就是紧挨着 PE header 的一结构数组.该数组成员的数目由 file header (IMAGE_FILE_HEADER) 结构中 NumberOfSections 域的域值来决定.节表结构又命名为 IMAGE_SECTION_HEADER.
结构中放的是一个节的信息,如名字,地址,长度,属性等.
IMAGE_SECTION_HEADER
本节原始数据在文件中的位置
4
PointerToRawData *
5
本节的原始尺寸
4
SizeOfRawData *
4
这个值+映像基地址=本节在内存中的真正地址.OBJ中无意义.
4
Virtual *
3
OBJ文件用作表示本节物理地址EXE文件中表示节的真实尺寸
4
PhysicalAddress或VirtualSize
2
节名
8
Name *
1
描述
大小(字节)
名字
顺序
IMAGE_SECTION_HEADER
节属性
4
Characteristics *
10
本节在行号表中的行号数目
2
NumberOfLinenumbers
9
本节要重定位的数目
2
NumberOfRelocations
8
行号偏移
4
PointerToLinenumbers
7
OBJ中表示该节重定位信息的偏移EXE文件中无意义
4
PointerToRelocations
6
描述
大小(字节)
名字
顺序
节
"节(Section)"跟在节表之后,一般PE文件都有几个"节".比较常见的有:
代码节
已初始化的数据节
未初始化的数据节
资源节
引入函数节
引出函数节
代码节
代码节一般名为.text或CODE,该节含有程序的可执行代码.
每个PE文件都有代码节
在代码节中,还有一些特别的数据,是作为调用映入函数之用.如:
Call MessageBoxA的调用,反汇编后该指令被换为call 0040101A,而地址0040101A仍在.text中,它放有一个跳转指令jmp dword ptr[0040304c],即这条跳转指令的目的地址处于.idata节中的0040304C处,其中放的才是MessageBoxA的真正地址,如下图:
已初始化的数据节
这个节一般取名为.data或DATA
已初始化的数据节中放的是在编译时刻就已确定的数据.如Hello World 中的字符串"Hello World!".
未初始化的数据节
这个节的名称一般叫.bbs.
这个节里放有未初始化的全局变量和静态变量.
资源节
资源节一般名为.rsrc
这个节放有如图标,对话框等程序要用到的资源.
资源节是树形结构的,它有一个主目录,主目录下又有子目录,子目录下可以是子目录或数据.
都是一个IMAGE_RESOURCE_DIRECTORY结构.结构如下:
IMAGE_RESOURCE_DIRECTORY 结构
以ID标识的资源数
2
NumberOfldEntries
6
以名字标识的资源数
2
NumberOfNamedEntries
5
次版本号
2
MinorVersion
4
主版本号
2
MajorVersion
3
资源生成时间
4
TimeDateStamp
2
通常为0
4
Characteritics
1
描述
大小(字节)
名字
顺序
引入函数节
一个引入函数是被某模块调用的但又不在调用者模块中的函数
这个节一般名为.idata,也叫引入表.
它包含从其它(系统或第三方写的)DLL中引入的函数,例如user32.dll,gdi32.dll等.
它的开始是一个IMAGE_IMPORT_DESCRIPTOR数组.这个数组的长度不定,但他的最后一项是全0,可以以此判断数组的结束.
引出函数节
什么是引出函数节
引出函数节是用来向系统提供导出函数的名称,序号和入口地址等信息,以便Windows装载器通过这些信息来完成动态链接的过程.
了解引出函数节对于学习病毒来说,是极为重要的.
Api函数地址的获取与引出函数节息息相关.
引出函数节
通过Api函数名查找其地址
(1)定位到PE文件头
(2)从PE文件头中的课选文件头中取出数剧目录表的第一个数据目录,得到导出表的地址.
(3)从导出表的NumberOfNames字段得到以命名函数的总数,并以这个数字做微循环的次数来构造一个循环.
(4)从AddressOfNames字段指向的函数名称地址表的第一项开始,在循环中将每一项定义的函数名与要查找的函数名比较,如果没有任何一个函数名符合,说明文件中没有指定名称的函数.
(5)如果某一项定义的函数名与要查找的函数名符合,那么记住这个函数名在字符串地址表中的索引值,然后在AddressOfNameOrdinals指向的数组中以同样的索引值去除数组项的值,假如该值为m.
(6)以m值作为索引值,在AddressOfFunctions字段指向的函数入口地址表中获取的RVA就是函数的入口地址,当函数被装入内存后,这个RVA值加上模块实际装入的基址(ImageBase),就得到了函数真正的入口地址.

你找到病毒文件,压缩成rar格式,到www.duba.net去提交,会有答复的

---

樟树市19294117434： 瑞星杀毒软件问题 - ？
左韩牛黄： 经常出现CPU占用100%的情况,主要问题可能发生在下面的某些方面: CPU占用率高的九种可能 1、防杀毒软件造成故障 由于新版的KV、金山、瑞星都加入了对网页、插件、邮件的随机监控,无疑增大了系统负担.处理方式:基本上没有合...

樟树市19294117434： 急!!:关于瑞星杀毒的问题.？
左韩牛黄： 1,瑞星慢可能与系统有关,请你清理系统垃圾文件,用优化大师等优化下系统,如果你电脑配置不高,杀毒的时候慢是正常的 2,通俗点说解压缩的意思是病毒可能是压缩文件中,如果不解压就会出现这种情况,也只有瑞星有这种现象 3,不用怕系统文件,即使删除了系统文件,你也可以用下面命令进行修复 在开始运行中输入:sfc(此处有个空格)/scannow对系统进行修复,如果要求放入光盘,那么光驱中插入系统 盘,一般可以解决的

樟树市19294117434： 瑞星杀毒软件的问题急急急我新装了一个正版瑞星杀毒软件,包括杀毒软 ？
左韩牛黄： 点击开始→程序→瑞星杀毒软件→瑞星监控中心,然后开启所有监控,你的瑞星小伞就回来啦.

樟树市19294117434： 瑞星杀毒软件的问题？
左韩牛黄： 修复一下看看,点开始--瑞星杀毒软件--添加删除组件--再点修复. 再不行只能重装.... 有可能是病毒破坏,修复好了最好升级到最新版再全盘杀毒

樟树市19294117434： 瑞星杀毒软件问题?？
左韩牛黄： 一般来说瑞星的杀毒能力还可以,如果发现这么多的病毒,那有可能是感染可执行文件或者感染文件夹的病毒,一种是.exe感染的病毒,这个毒如果重了,杀掉会影响系统,所有的可执行文件全部就会损坏,修复方法是拷一个新的exe文件;如果是所谓的AV终结者,专门感染文件夹,那麽这个毒可以杀除,它只是把原有文件夹设为隐藏格式,创造出后缀为exe的快捷方式,这个可以删除的,源文件的已隐藏只能用cmn命令还原,也可以写批处理文件,这个网上有指导

樟树市19294117434： 关于瑞星杀毒软件的问题？
左韩牛黄：这种情况应该是正常的.有些杀软扫描由安装包制作程序(如 NSIS、Install Shield、Inno制作的安装包时会出现这种情况——杀毒软件能解包这类安装包到临时文件夹进行扫描,但扫描到有病毒时,由于杀毒软件本身不具备对杀毒后的解包文件重新打包能力(或涉及到版权问题),所以出了提示性质的信息,当您试图使用该带毒的安装包安装时,实时监控(一般杀软都具有)中的文件监视会及时处理,无需担心.

樟树市19294117434： 瑞星杀毒问题？
左韩牛黄： 有几种可能 1 你的软件未经过注册 2 你的软件下载渠道不对 3 瑞星不是最新版本 4 未安装瑞星防火墙 5 未更新WINDOWS系统文件 如果想要瑞星软件可以+Q10443925 不过只有到2009年的中旬有效 正版

樟树市19294117434： 瑞星杀毒问题？
左韩牛黄： 瑞星杀毒问题 今年木马特别多的,一种杀毒软件可能杀不了有些病毒的 (落地风筝原创,复制可耻) 首先开机按F8进入安全模式,用360安全卫士和360专杀大(http://www.360.cn下载),windows 清理助手和恶意软件清理助手(这两个到多特下,绝对没有病毒),汉化的AVG Anti-Spyware7.5.1.43http://www.17ai.org.cn/qt/avg.htm联合查杀,如果不行,在360软件界面中下载专杀工具哦,一般会解决的 ,以上都是完全免费的

樟树市19294117434： 关于瑞星杀毒软件错误的问题~~看 - ？
左韩牛黄： 肯定不能安装咯! 如果安装了以后 肯定杀毒功能 有缺陷! 所以 检查下 为什么 会出现 组件 错误! 刚才在网上帮你看了下:说是 病毒所致 或者是文件 有损! 所以你先 下载个专杀工具杀杀 杀了以后 在重装下瑞星 并进行 升级!

樟树市19294117434： 我的瑞星杀毒软件出了什么问题啊？
左韩牛黄： 你的电脑恐怕是中了病毒,病毒破坏了瑞星的文件,导致瑞星打开失败. 你用360检查一下,然后重装瑞星吧