《第六章 病毒技巧.ppt》由会员分享,可在线阅读,更多相关《第六章 病毒技巧.ppt(12页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、南开大学信息技术科学学院古力 计算机病毒分析与对抗第六章 病毒技巧 本章讨论病毒为了提高自己的生存能力而采取的各种技巧,这其中包括隐藏技术、花指令、加密技术(简单加密、多态、变形)、指令的优化等,此外还有异常处理技术在病毒中的应用。20102010年年南开大学信息技术科学学院古力 计算机病毒分析与对抗 1、引导型病毒的隐藏技术修改13H中断的入口地址,使其指向病毒代码在加载程序时使用假象的方法一、病毒的隐藏技术20102010年年南开大学信息技术科学学院古力 计算机病毒分析与对抗 2、文件型病毒的隐藏技术 系统列目录时显示感染前的文件大小;读写文件看到正常的文件内容;执行搜索时隐藏病毒;在支持
2、长文件名的系统中隐藏自身,隐藏病毒扇区等。图6.3 P261.一、病毒的隐藏技术20102010年年南开大学信息技术科学学院古力 计算机病毒分析与对抗 3、宏病毒的隐藏技术 宏病毒的信息比较简单,包括禁用宏菜单,不进行错误处理、异常处理等等。一、病毒的隐藏技术20102010年年南开大学信息技术科学学院古力 计算机病毒分析与对抗 4、Windows病毒的隐藏技术 修改文件的时间 修改文件的大小;在文件空隙中插入病毒片段;在Win98中隐藏进程;在Win2000下创建服务进程,创建远程进程等。一、病毒的隐藏技术20102010年年南开大学信息技术科学学院古力 计算机病毒分析与对抗二、花指令 花指
3、令:就是在我们的程序之间加入一些似乎没有什 么意义的代码。这些代码不会妨碍程序的 正常运行,但是在静态反汇编时,却会让原 本正常的代码解释成难以读懂、甚至有些怪 异的汇编代码。例子:P262 20102010年年南开大学信息技术科学学院古力 计算机病毒分析与对抗三、计算机病毒的简单加密 简单加密:病毒的简单加密是指对病毒的 某些主体代码采用固定的密钥进行加密,这样静态反汇编出来的代码就是经过加密处理过的,因此在某种长度上可以起到保护病毒的目的。20102010年年南开大学信息技术科学学院古力 计算机病毒分析与对抗三、计算机病毒的简单加密 简单加密的组成部分:p265 简单加密的程序结构:p26
4、5 一个具体的病毒例子(VIRUS:AC-916.COM)特点:缺点:20102010年年南开大学信息技术科学学院古力 计算机病毒分析与对抗所谓病毒的多态:就是指一个病毒的每个样本的代码都不相同,它表现为多种状态。例子:p268四、病毒的多态20102010年年南开大学信息技术科学学院古力 计算机病毒分析与对抗五、病毒的变形技术 先看p269代码:变形病毒与多态病毒最大的不同:每次加密的原始病毒代码与多态是变化的。20102010年年南开大学信息技术科学学院古力 计算机病毒分析与对抗五、病毒的变形技术 选取垃圾代码的规则:不会破坏有用的寄存器 不改变寄存器的内容解密代码要用到FLAGS时,也不能改变FLAGS。具体的变形方式:p270 20102010年年南开大学信息技术科学学院古力 计算机病毒分析与对抗 所谓病毒代码的优化,是指对病毒代码所占用空间和运行时间两方面的优化。代码优化的几个例子:六、病毒代码的优化20102010年年