华中科技大学 病毒原理 课件 计算机病毒第二章--精.ppt

2.4.2 变形病毒的分类 以下根据变形病毒的变化能力将其划分为四类： 1.一维变形病毒 2. 二维变形病毒 3. 三维变形病毒 4.四维变形病毒 2.4.3变形病毒的常用技术 变形病毒主要采用一种变形驱动机构（也称作变形引擎metamorphic engine）。这里变形引擎主要划分为五部分：预处理器、还原器、病毒主代码、病毒引擎驱动器、变形器。 一般常采用加密、分支技术、伪随机索引解密技术、程序演化、反仿真技术、重定位技术等技术。 2.4.4变形病毒的发展和趋势 1992年，我们首次发现了国内第一例变形病毒，病毒名字为“Doctor”(医生)。 目前， 已发现了许许多多变形病毒， 如名字称为“Doctor” (医生)、NewFlip(颠倒屏幕)、Casper(卡死脖幽灵)、Ghost/One_Half/3544(幽灵)、VTech、NATAS/4744(拿他死幽灵王)、1982/(福州大学HXH)、1748/HXH、2560/HYY、V3、HYY/3532(福州1号变形王)、Tremor、5VOLT4、CLME、1748/HXH、NEW DIR2、CONNIE2台湾2号变形王、MADE-SP、HEFEI（合肥1号，2号）、JOKE、NIGHTALL、WIN-Marburg、WIN32/HPS、WIN32/CXDZ、WIN32/MATRIX、I-WORM/MAGISTR（马吉思）等病毒。 将来变形技术发展趋势:变形病毒更加智能,复杂,分体合作. ２.4.5小结 变形技术是当今计算机病毒技术研究的热点和难点，是计算机病毒技术主要的发展趋势，是病毒技术和反病毒技术争夺的焦点。计算机变形病毒发展迅速，并且和别的技术的结合，已造成对信息安全的巨大威胁。如何分析计算机病毒变形技术对于保障信息安全是非常重要的，对于国家的国防建设意义相当大。所以深入研究计算机变形技术十分必要。 2计算机病毒的构造 本章开始深入讲解病毒的机理构造，是重点内容主要包括： 2．1计算机病毒的自我复制 2．2计算机病毒的感染机制 2．3计算机病毒的传播机制 2．4计算机病毒的伪装及变种功能 2．1计算机病毒的自我复制 自我复制是计算机病毒的最重要特征，要阐述清楚它为什么具有了自我复制的功能----信息的数字化和可存储是基本；不同病毒的自我复制实现不同. 病毒的自我复制功能被绝大多数读者认为是病毒的最奇妙的技术。其实，信息的数字化和机器的拷贝功能是计算机病毒自我复制技术的基础，只不过复制不是由计算机用户操作完成，而是病毒本身来完成，下面将一一介绍。 2．1计算机病毒的自我复制 2.1.1生物病毒和计算机病毒的复制比较 生物病毒的复制 生物病毒是一种生物实体，它能够使用细胞所具有的机制和物质对自己进行再制造，离开宿主它不能存在。 计算机病毒的复制 作为计算机病毒一般具有一下两个特征： 1．该段程序寄生于宿主程序中，宿主程序执行时，该段程序首先被执行。即具有寄生性。 2．该段程序能够自我复制到其他宿主程序中，即具有传染性。且被感染的程序运行时，病毒程序能够进一步感染其他目标程序，从而使病毒得到传播。能够进行自我复制计算机病毒的执行过程可以这样描述： At the beginning is one SRP --- /*Phase I : INFECTION Process*/ A: .~Search in a given directory if file. .If (file is found) then .If (fingerprint in file) then .Change to next entry in directory .go to A : . else .Copy the SRP code : The infected code of host must start by the Search function and a move is needed to avoid to overwriting code. . Save preinfection entry of host .endif .else .Change directory .go to A : .end if /*Phase 2 : ACTION Process*/ .If (trigger) then ACTION process .end if .go to preinfection entry in host program --- Now : a new SRP. --- Later... a lot of SRP‘s. 2.1.2计算机病毒自我复制示例 VC写的病毒自我传播的示例： void CMeCopyDlg::OnMe