计算机病毒及其防范技术 978-7-302-16923-9 第四章 计算机病毒技术特征新.pptVIP

计算机病毒技术特征 上海交通大学信息安全工程学院 一、常见计算机病毒的技术特征 驻留内存 病毒变种 EPO（Entry Point Obscuring）技术 抗分析技术（加密、反跟踪） 隐蔽性病毒技术 多态性病毒技术 插入型病毒技术 超级病毒技术 破坏性感染技术 病毒自动生产技术 网络病毒技术 1 驻留内存:DOS TSR 1 驻留内存：引导区病毒的内存驻留 大小在1K或者几K 为了避免用户可以很容易的觉察到系统可用内存的减少，一些病毒会等待DOS完全启动成功，然后使用DOS自己的功能分配内存。 不用考虑重载。 1 驻留内存：Windows环境下病毒的内存驻留 三种驻留内存的方法 由于Windows操作系统本身就是多任务的，所以最简单的内存驻留方法是将病毒作为一个应用程序，病毒拥有自己的窗口（可能是隐藏的）、拥有自己的消息处理函数； 另外一种方法是使用DPMI申请一块系统内存，然后将病毒代码放到这块内存中； 第三种方法是将病毒作为一个VXD（Win3.x或者Win9x环境下的设备驱动程序）或者在Win NT／Win2000下的设备驱动程序WDM加载到内存中运行。 防止重载的方法 传统的防止重入方法 禁止启动两个实例 对于VXD病毒 静态加载时，病毒会在“SYSTEM.INI”文件中包含加载设备驱动程序的一行信息； 动态加载时，可能使用某些英特尔CPU的一些特殊状态位来表示病