计算机变形病毒发剖析及解决策略.docVIP

计算机变形病毒发展剖析及解决策略 【 摘 要 】 计算机变形病毒的发展伴随着病毒的发展史，从上世纪90年代至今，变形病毒发展经历了加密病毒、单变形、准变形、完全变形病毒，一直到现在的网络变形病毒阶段。与变形病毒紧密相关的技术也在不断创新和发展，如解密技术、网络技术、各种数学算法等，它们的发展也加速了变形病毒的无穷更新变种。同时，这对反病毒技术的变革和更新换代不断地提出新挑战。文章中对变形病毒的解决策略就是以网络蠕虫的变形为分析例子。 【 关键词 】 变形病毒；蠕虫；解密器；变形机；动态虚拟机 【 abstract 】 polymorphic virus plays an important role in computing virus history. form 1990s by now, polymorphic virus passes by the following stages: single encrypted virus, encrypted virus with variable keys, polymorphic virus, full metamorphic virus and networking metamorphic virus. following by polymorphic virus, some key technologic is developing rapidly such as decryption, networking, mathematic algorithm etc. so the developing polymorphic virus brings more and more big trouble and challenge to the anti-virus skills. in the paper, a trouble shooting strategic of the latest worm polymorphic virus will be analyzed. 【 keywords 】 polymorphic virus；worm；decrypted engine； metamorphic engine；virtual machine 0 引言 进入21世纪计算机网络时代以来，曾经肆掠一时的变形病毒遇到合适的滋生环境，又开始迅速蔓延和更新换代，目前就出现了很多网络病毒与变形病毒的结合体，如蠕虫的变形。文章除了带大家进入变形病毒的原理和发展史，更剖析了现今的网络变形病毒，以及它们的对付策略。 1 计算机病毒的分类 1.1 蠕虫病毒 蠕虫（worm）是通过分布式网络来扩散传播自身的复制，破坏网络中的计算机或造成网络拥塞的病毒。 “蠕虫”由两部分组成：一个主程序和一个拷贝。主程序网络中的某台机器上执行，获得与当前网络的信息和软件缺陷，从而尝试主动攻击受害计算机。它首先入侵到计算机的某个或者某几个的寄存器中，使得这些目标寄存器的内存溢出，已达到在受害计算机中运行非法的程序代码的目的。 1.2 变形病毒 1.2.1 单变形病毒 单变形病毒也叫加密病毒的变种，是对病毒解密器进一步进行保护，它的目的在于把作为主要特征的解密器隐藏起来，让反病毒软件无从下手。但是这类病毒的不足之处在于，它只能生成有限种的解密器变形，而且只是通过某种加密算法进行保护。 1.2.2 准变形病毒 准变形病毒，最显著的特点是加密技术。变形机开始采用随机解密算法（rda，random decryption algorithm）。 但是正是这种随机算法给本来艰难的反病毒技术带来了转机，对于利用了此种算法的程序或者进程都认为它们是可疑代码，因为这种算法在正常的程序中使用率不高。 1.2.3 全变形病毒 全变形病毒可以描叙为“变形机能够对病毒体进行变形的病毒”。刚才分析的无论加密病毒，单变形病毒，还是准变形病毒，都有一个共同的特点，就是病毒体程序都是静态的。这些变形技术实际上就是单纯地依靠加密手段对病毒体进行保护，也就是说无论密钥如何变化，对于静态的病毒体，只要破译了解密器，解密后得到的原始病毒体代码就被打回成本来面目。 1.2.4 变形的蠕虫病毒 目前网络上的一种变种蠕虫，也就是上述介绍的蠕虫和变形病毒的结合体。当蠕虫的攻击程序段被变化成无穷个完全不同的普通程序，或是错误信息或是乱码，这些公认的防网络蠕虫软件就无从检测到它的真身。当加密后的蠕虫注入到受害计算机的寄存器时，蠕虫边解密边执行，直到寄存器内存溢出，运行非法的程序段，蠕虫的一个拷贝成功入驻到受害计算机为止。所以变形蠕虫实际上只是对攻击程序体和入驻程序体的变形。 值得注意的是，当下也出现了某种变形蠕虫它可以随机改变注入的寄存器