第14讲 病毒防范(二).pptVIP

第14讲 病毒防范（二） 病毒防范 一、病毒技术概述 1、寄生技术 2、驻留技术 3、加密变形 4、隐藏技术 1、寄生技术（1） “头寄生”: 感染方式 1、寄生技术（2） “头寄生”: EXE文件“头寄生”方式 1、寄生技术（3） “尾寄生” ：COM文件的尾寄生 1、寄生技术（4） “尾寄生” ：感染前后代码对比 1、寄生技术（5） “插入寄生”方式 1、寄生技术（6） “空洞利用” 寄生方式 2、驻留技术（1） DOS环境下的内存驻留 2、驻留技术（2） 引导区病毒的内存驻留 ： 引导区内存驻留程序使用类似的方法将病毒代码放入系统内存中，这样会造成系统可用内存减少，由于引导病毒通常都比较小，所以一般减少的内存都只有1K或者几K。 为了避免用户可以很容易的觉察到系统可用内存的减少，一些病毒会等待DOS完全启动成功，然后使用DOS自己的功能分配内存，这样不会显示整个可用内存减少，而是在DOS可用的内存中增加了一小个常驻的程序，这样往往不会引起用户的警觉。 引导区内存驻留程序往往不包括重入检测部分，因为引导区病毒只会在系统启动的时候加载一次。 2、驻留技术（3） Windows下病毒驻留技术 在内存中寻找合适的页面并将病毒自身拷贝到其中，而且在系统运行期间能够始终保持病毒代码的存在 进入了核心态的病毒可以利用系统服务来达到驻留内存的目的，例如CIH病毒调用INT 20中断 2、驻留技术（4） 处于用户态的程序要想在程序退出后仍驻留代码的部分于内存中似乎是不可能的，因为无论用户程序分配何种内存都将作为进程占用资源的一部分，一旦进程结束，所占资源将立即被释放。所以我们要做的是分配一块进程退出后仍可保持的内存。病毒写作小组29A的成员GriYo运用的一个技术很有创意： 通过CreateFileMappingA和MapViewOfFile创建了一个区域对象并映射它的一个视口到自己的地址空间中去，然后把病毒体搬到那里，由于文件映射所在的虚拟地址处于共享区域，所以下一步他通过向Explorer.exe中注入一段代码，而这段代码会从Explorer.exe的地址空间中再次申请打开这个文件映射。如此一来，即便病毒退出，但由于Explorer.exe还对映射页面保持引用，所以一份病毒体代码就一直保持在可以影响所有进程的内存页面中直至Explorer.exe退出。 3、加密变形（1） 3、加密变形（2） 这段解密的代码和加密后的病毒都是在感染的时候动态生成的，我们可以看到，使用的寄存器、密钥、加密代码的长度等等，甚至解密使用的指令都是随机的，所以指望能够从这些代码中找到固定的病毒特征码是徒劳的，也就是由于这种加密变形病毒的出现，使利用简单特征码进行病毒检测的技术走到了尽头。 4、隐藏技术（1） 引导型病毒的隐藏技术 4、隐藏技术（2） 4、隐藏技术（3） 文件型病毒的隐藏技术 4、隐藏技术（4） Windows环境下的隐藏技术 在Windows系统中，有一定经验的用户觉察系统异常后，常常使用管理器进程列表来观察是否有异常进程的存在，若存在则会采取一定的防范措施。因此，实现进程或模块隐藏应该是一个成功病毒所必须具备的特征。在WIN9X下，Kernel32.dll有一个可以使进程从管理器进程列表中消失的导出函数RegisterServiceProcess，但它仍不能使病毒逃离一些进程浏览工具的监视。但当病毒编写者知道这些工具是如何来枚举进程后，也能够找到对付这些工具相应的办法。例如，进程浏览工具在WIN9X下大都使用一个叫做ToolHelp32.dll的动态连接库中的Process32First和Process32Next两个函数来实现进程枚举的；而在WINNT/2000里也有PSAPI.DLL导出的EnumProcess可用以实现相同的功能。所以病毒就可以考虑修改这些公用函数的部分代码，使之不能返回特定进程的信息从而实现病毒的隐藏。 二、反病毒技术概述 1、校验和 2、疫苗 3、扫描（模式匹配） 4、动态陷阱 5、启发式扫描 6、病毒实时监控 1、校验和 校验和是一种最先也是最容易想到的病毒检测方法。校验和程序检测一个文件是否被修改。既然病毒必须修改文件，校验和就能用来检测病毒。 校验和方法的一个明显问题它可能产生过多的虚警，因为并不是所有修改文件的都是病毒。后来的改进，例如仅校验一个程序的核心部分，使得这种方法工作地更好，但是病毒作者们又发明了叫做偷盗病毒的程序去对付校验和程序。偷盗病毒把某个DOS中断服务例程（主要是文件I/O例程）改为自己的例程。那么当一个校验和程序检测它时，病毒通过暂时恢复原始数据来欺骗校验程序。 2、疫苗 疫苗曾一度是很流行的反病毒方法。疫苗疫苗实际上是计算机病毒的一个变形。它试图在开始执行