计算机病毒分析与防治简明教 教学课件 作者 978 7 302 16377 0 ch07.pptVIP

第7章 病毒常用技术分析 教学目标 加密、变形、多态 进入系统核心层 欺骗 驻留系统截获系统操作 反跟踪 教学重点 生产作业计划的概念和特点 生产作业流程的特点 生产作业控制的内容和特点 教学过程 病毒的加密技术 病毒的变种、多态与变形 病毒的一些常用保护方法 病毒对系统的破坏 7.1 病毒的加密技术 1. 脚本代码的加密 2. PE文件的加密 3. 花指令方法 脚本代码的加密 绝大部分脚本病毒运行的时候需要用到对象FileSystemObject。脚本代码需要通过Windows Script Host来解释执行。脚本病毒的运行需要其关联程序Wscript.exe的支持。通过网页传播的病毒需要ActiveX的支持。 巧妙运用Execute函数 例如，下面的Vbs程序： str=set fso=createObject( chr(34) scrip chr(116) ing.FileSystemObjectchr(34)chr(41) msgbox str Execute str ’执行str PE文件的加密 认定关键代码 。 选择加密算法 。 在程序初始化的某个位置增加解密代码 。 找到关键代码在内存中位置 。 替换加密代码中的初始值 。 加密关键代码 。 修改程序代码节属性 。 花指令方法 在程序中掺杂一些采用“跳转指令加数据”的代码，可以局部破坏软件反汇编，这就是所谓“花指令”。代码格式可以表示为： jz @f ；若标志位ZF=1,跳转到下一个标号 jnz @f ；若标志位ZF=0,跳转到下一个标号，所以总是跳转到一个位置 db 0 ；定义一个变量，干扰后面的反汇编，也可为别的值，值不同效果不同 @@: ；标号 花指令使用前 使用花指令后 7.2 病毒的变种、多态与变形 变种病毒指在已有的病毒上对病毒的代码进行修改后又成为一个新的病毒，可以看作是在原病毒基础上的升级。 病毒多态就是使病毒能够改变自身的存储形式的技术，使传统依靠特征值检测的技术失效。变形则在多态的基础上更进一步。 多态与变形病毒的来历与分类 一个成熟的多态病毒由密匙，解密代码和主程序体构成。每次生成的解密代码和密钥都不同，使得每条解密指令都不是固定的，病毒每次复制自身的时候，这些代码都会随机改变；密钥每次都随机生成。让解密代码几乎没有规律可循，这就是多态病毒思想。 变形引擎在多态引擎的基础上，使用了中间语言（由原始代码反汇编而成，由病毒本体操作），并在实际执行时进行汇编编译变换，并附带有模拟器，这样进一步使病毒的代码发生变形，使得病毒完全丧失相同点。 多态原理浅析 对加密病毒改进后，病毒由变化的解密头和加密的代码组成。多态病毒运行时，先执行的是解密代码，对加密代码解密，然后执行刚解密的代码，也就是实现传播的主体代码。 使用宏后的效果 变形引擎浅析 变形引擎即能不断产生变形，使病毒呈现出多态的程序。近年来出现了一些所谓的“病毒生产机”软件，使新病毒的制造非常容易，能够自动地产生病毒的变形代码。 变形引擎原理的变形代码一般由两部分组成，分别是一段经过32位密钥异或加密的代码和由引擎随机生成的一段对这段加密代码进行解码的模块。 7.3 病毒的一些常用保护方法 自我删除 自我复制 驻留内存 以服务程序方式 自我删除 自我删除的目的是在安装结束后或某些过程结束后删除程序本身，方法有好几种。适用于任何一种Windows的程序自我删除方法是使用扩展名为bat批处理文件。 自我复制 PE文件方式 脚本语言方式 搜索资源（Email地址和共享目录） 搜索邮箱地址 病毒如何共享硬盘 搜索共享目录 驻留内存 进入ring 0方法 代码的加壳 7.4 病毒对系统的破坏 调用API实现 格式化硬盘的网页HTM文件 向扇区写入数据 * 计算机病毒分析与防治教程 清华大学出版社 计算机病毒分析与防治教程 清华大学出版社 教学目标 教学重点 教学过程 自加密 自加密使每次运行后病毒文件代码都有所变化。如新欢乐时光病毒，它可以随机选取密钥对自己的部分代码进行加密变换，使得每次感染的病毒代码都不一样，这给传统的特征值查毒法带来了一些困难。 改变某些对象的声明方法 例如，对代码： fso=createobject(scripting.filesystemobject) 我们将其改变为： fso=createobject(script＋ing.filesyste＋mobject) 这样反病毒