新型计算机病毒的发展趋势及特点和技术.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * 4.3.3 修改中断向量表技术 引导型病毒和驻留内存的文件型病毒大都要修改中断向量表，以达到将计算机病毒代码挂接入系统的目的。 对于引导型病毒，磁盘输入输出中断13H是其传染磁盘的唯一通道。通过将病毒的传染模块链入13H磁盘读写中断服务程序，就可在用户利用正常系统服务时感染软硬盘。 4.3.4 计算机病毒隐藏技术 采用“隐藏”技术的计算机病毒表现形式： 计算机病毒进入内存后，若计算机用户不用专用软件或专门手段去检查，则几乎感觉不到因计算机病毒驻留内存而引起的内存可用容量的减少。 计算机病毒感染了正常文件后，该文件的日期和时间不发生变化。因此用DIR命令查看目录时，看不到某个文件因被计算机病毒改写过造成的日期、时间有变化。 计算机病毒在内存中时，用DIR命令看不见因计算机病毒的感染而引起的文件长度的增加。 4.3.4 计算机病毒隐藏技术 采用“隐藏”技术的计算机病毒表现形式： 计算机病毒在内存中时，若查看被该计算机病毒感染的文件，则看不到计算机病毒的程序代码，只看到原正常文件的程序代码。 计算机病毒在内存中时，若查看被计算机病毒感染的引导扇区，则只会看到正常的引导扇区，而看不到实际上处于引导扇区位置的计算机病毒程序。 计算机病毒在内存中时，计算机病毒防范程序和其他工具程序检查不出中断向量被计算机病毒接管，但实际上计算机病毒代码已链接到系统的中断服务程序中 4.3.4 计算机病毒隐藏技术 1．静态隐藏技术 静态隐藏技术：指计算机病毒代码依附在宿主程序上时所拥有的固有的隐蔽性 一般由父病毒在感染目标程序时，依照目标程序的特性，产生特定的子病毒，使其能隐蔽在宿主程序中而不被发现 秘密行动法 秘密行动法：通过清除感染程序所留下的痕迹，恢复宿主文件的特征，向查询者返回虚假信息，而达到隐藏病毒的目的 碎片技术：利用Windows环境PE可执行文件分段存储，而各段有一些未使用的剩余空间这一特征，将自身分割成小块，隐藏在内存空隙中，从而消除病毒改变文件长度的缺陷 4.3.4 计算机病毒隐藏技术 秘密行动法：引导型病毒的隐藏方法一 感染时，修改中断服务程序 使用时，截获INT 13调用 读请求 读请求 返回数据 返回数据 返回数据 DOS应用程序 原来的INT13H服务程序 DOS下的杀毒软件 病毒感染后的INT13H服务程序 普通扇区 普通扇区 被病毒感染的扇区 被病毒感染的扇区的原始扇区 读扇区调用 4.3.4 计算机病毒隐藏技术 秘密行动法：引导型病毒的隐藏方法二 针对杀毒软件对磁盘直接读写的特点，截获 INT 21H，然后恢复感染区，最后，再进行感染。 感染后的INT 21H功能40H（加载一个程序执行） 执行反病毒程序 恢复被病毒感染的扇区为原来的内容 原来的INT21H功能 重新感染扇区 返回DOS命令解释程序（COMMAND..COM） DOS命令解释程序（COMMAND..COM） 4.3.4 计算机病毒隐藏技术 秘密行动法：文件型病毒的隐藏方法 拦截（API, INT调用）访问 —— 恢复 —— 再感染 DOS INT21H调用 隐藏病毒扇区 列目录时显示感染前的文件大小 读写文件看到正常的文件内容 执行或者搜索时隐藏病毒 在支持长文件名的系统隐藏自身 INT13H（直接磁盘访问） 列目录功能 读写功能(Read、Write) 执行功能（EXEC） 其他功能（rename等） 视窗操作系统下，支持长文件名的扩展DOS调用 4.3.4 计算机病毒隐藏技术 自加密技术 计算机病毒可以对静态计算机病毒加密，同时也可以对进驻内存的动态计算机病毒进行加密 Mutation Engine多态技术 采用特殊的加密技术，每感染一个对象，放入宿主程序的代码都不相同，几乎没有任何特征代码串，从而能有效对抗采用特征串搜索法类杀毒软件的查杀 插入性病毒技术 插入性病毒在不了解宿主程序的功能和结构的前提下，能将宿主程序在适当处截断，在宿主程序的中部插入病毒程序，并做到使病毒能获得运行权，达到与宿主程序融为一体 4.3.4 计算机病毒隐藏技术 2．动态隐藏技术 动态隐藏技术：指计算机病毒代码在驻留、运行和发作期间所拥有的隐蔽性 计算机病毒利用操作系统的功能和漏洞，后台执行监视和感染的功能，防止被一般的内存或进程管理程序发现 反Debug跟踪技术 Debug主要利用系统中断INT 1和INT 3进行动态跟踪。计算机病毒抑制跟踪的方法主要是修改INT 1和INT 3中断服务程序入口地址的内容来破坏跟踪 此外，常见的其他反跟踪技术有：封锁键盘输入、封锁屏幕输出等 4.3.4 计