计算机病毒对抗检测高级技术分析 期刊.pdfVIP

服 务 病毒黑客 计算机病毒对抗检测高级技术分析 贺朝晖 ( 中国人民银行株洲市中心支行，湖南 株洲 412007) 摘 要 ：从有效防范和清除计算机病毒的目的出发，深入剖析当前流行病毒的复杂性、欺骗性和对抗性特点及其背后的工作机 理。研究表明，计算机病毒普遍采用了反代码分析、规避检测、欺骗隐身和暴力对抗四个方面的先进技术对抗安全软件的保护， 计算机病毒与反病毒技术的斗争将趋于更加激烈。 关键词 ：计算机病毒；对抗检测；分析 Analysis of Advanced Malware Bypassing Techniques (Author. He Zhaohui, senior engineer and system analyst, People's bank of China, Zhuzhou, Hunan 412007,China) Abstract ：This paper examines a set of typical computer virus and takes deep insight into complexity, stealth, armoring as well as other characters employed by malware to attentively bypass live behavioral protection of computer system. Anti-reverse engineering, decttion evasion, stealth and out-powering techniques are specifically analyzed and discussed to contribute to effective computer virus defense and system protection. Key words ：Computer virus; Bypassing Protection; Advanced Analysis 计算机病毒与反病毒技术在激烈的对抗中各自不断 文件，还使用空字符加密、转义字符加密、Escape加密 发展。特征码扫描、行为判断 (generic)、启发式杀毒 和拆分特征码等方式对网页木马进行加密免杀，防止漏 (heuristic) 以及主动防御 (Proactive Defense)、主机入 洞利用代码被安全软件发现。 侵保护系统 (HIPS)、网络防火墙等安全产品应用日益广 Rustock.C 病毒先做加密变化，外部加两层外壳。 泛，然而计算机病毒在攻防大战中丝毫未落下风，病毒 外层壳使用 UPX，内层壳采取定制的加壳程序，脱壳时 技术更趋复杂，普遍具备欺骗性、对抗性特点。本文从 使用大量的 PUSH/RETN 指令序列，得到加密的病毒 反代码分析、规避检测、欺骗隐身和暴力对抗四个方面 代码。甚至连病毒 SYS 文件都用随机密钥进行了加密， 深入揭示 Windows 系统下病毒工作机理，以达到有效 加载到内存后先对自身解密再设置各种底层HOOK。 防范的目的。 1.2 反内存卸出 一般情况下，进程空间映像是磁盘文件内容在内存 1 反代码分析 中的拷贝，内存卸出软件可以从运行进程的内存空间将 通过逆向工程分析病毒样本、提取特征码、破解病 代码倒出分析，为此病毒采取多种针对性措施。 毒行为，是检测、清除和防范的基础与前提。因此，病 自解除映射(Self-Unmapping)。调用 kernel32模 毒从一开始就试图穿上“重装铠甲”，采用种种手段对抗 块函数 UnmapView OfFile