(精)第2章：病毒及其防治(第9章).ppt

第2章 恶意程序及其防范 2.1 计算机病毒的概念 2.2 计算机病毒原理 2.3 计算机病毒编制的关键技术 2.4 蠕虫 2.5 木马 2.6病毒对抗技术 2.1 计算机病毒的概念 2.2 计算机病毒原理 2.3 计算机病毒编制的关键技术 2.4 蠕虫 2.5 木马 2.6 病毒对抗技术 （2）谋求在内存的合法性：早期的病毒程序一般驻留内存高端。因此，内存侦察是反病毒软件的首选技术。为躲避侦察，病毒程序可以采用下面的方法： · 通过正常的内存申请进行合法驻留。如扬基病毒、DONG病毒等； · 改驻留高端为驻留低端，如DIRII病毒。 （3）维持宿主程序的外特性：保持宿主程序的外特性不变，例如，CIH病毒采用碎洞攻击技术不增加宿主文件的长度。 （4）不使用明显的感染标志：早先，病毒只简单地根据某个标志来判断病毒是否已经存在，现在则要经过一系列相关运算来进行判断。 2. 采用抗分析技术 为了增加病毒分析的困难，病毒还采用了一些抗分析技术，例如： （1）降低代码的可读性； （2）采用加密技术，使分析者无法在病毒不执行的情形下阅读病毒程序。主要的加密技术有： · 对程序段进行动态加密：采用边执行边解密的方法，使后面的机器码是与前面的机器码运算后还原形成，分析者即使用DEBUG等调试工具将病毒程序从头到尾打印出来，也是一堆乱码。 · 对宿主程