第四章 计算机病毒技术特征幻灯片.pptVIP

计算机病毒技术特征 上海交通大学信息安全工程学院 一、常见计算机病毒的技术特征 驻留内存 病毒变种 EPO（Entry Point Obscuring）技术 抗分析技术（加密、反跟踪） 隐蔽性病毒技术 多态性病毒技术 插入型病毒技术 超级病毒技术 破坏性感染技术 病毒自动生产技术 网络病毒技术 1 驻留内存:DOS TSR 1 驻留内存：引导区病毒的内存驻留 大小在1K或者几K 为了避免用户可以很容易的觉察到系统可用内存的减少，一些病毒会等待DOS完全启动成功，然后使用DOS自己的功能分配内存。 不用考虑重载。 1 驻留内存：Windows环境下病毒的内存驻留 三种驻留内存的方法 由于Windows操作系统本身就是多任务的，所以最简单的内存驻留方法是将病毒作为一个应用程序，病毒拥有自己的窗口（可能是隐藏的）、拥有自己的消息处理函数； 另外一种方法是使用DPMI申请一块系统内存，然后将病毒代码放到这块内存中； 第三种方法是将病毒作为一个VXD（Win3.x或者Win9x环境下的设备驱动程序）或者在Win NT／Win2000下的设备驱动程序WDM加载到内存中运行。 防止重载的方法 传统的防止重入方法 禁止启动两个实例 对于VXD病毒 静态加载时，病毒会在“SYSTEM.INI”文件中包含加载设备驱动程序的一行信息； 动态加载时，可能使用某些英特尔CPU的一些特殊状态位来表示病毒是否存在于内存中（CIH病毒就采用了这种方法）。 1 驻留内存：宏病毒的内存驻留方法 病毒随着宿主程序而被加载并且一直存在于系统中，所以从某种意义上，宏病毒都是内存驻留病毒。 宏病毒通过检测自己的特征防止重入。 2 病毒变种 变形 变种——〉新品种 两种方式： 手工变种 自动变种（Mutation Engine：变形机） 保加利亚的Dark Avenger的变形机最著名。 分类 第一类，具备普通病毒所具有的基本特性，然而，病毒每感染一个目标后，其自身代码与前一被感染目标中的病毒代码几乎没有三个连续的字节是相同的，但这些代码及其相对空间的排列位置是不变动的。这里称其为一维变形病毒。 第二类，除了具备一维变形病毒的特性外，并且那些变化的代码相互间的排列距离（相对空间位置）也是变化的，有的感染文件的字节数不定。这里称其为二维变形病毒。 第三类，具备二维变形病毒的特性，并且能分裂后分别潜藏在几处，随便某一处的子病毒被激发后都能自我恢复成一个完整的病毒。病毒在附着体上的空间位置是变化的，即潜藏的位置不定。例如，在某台机器中，病毒的一部分可能藏在机器硬盘的主引导区中，另外几部分也可能潜藏在可执行文件中，也可能潜藏在覆盖文件中，也可能潜藏在系统引导区，也可能另开垦一块区域潜藏等等。在另一台被感染的机器内，病毒可能又改变了其潜藏的位置。这里称其为三维变形病毒。 第四类，具备三维变形病毒的特性，并且，这些特性随时间动态变化。例如，在染毒的机器中，刚开机时病毒在内存里变化为一个样子，一段时间后又变成了另一个样子，再次开机后病毒在内存里又是一个不同的样子。这里称其为四维变形病毒。 3 EPO（Entry Point Obscuring）技术 为什么要采用EPO技术呢？ 杀毒技术提高 〉 防止被发现 〉 EPO 三种实现方法： 最早的EPO通过改变程序入口处的代码实现的。简单但无用 把宿主程序的任意位置的指令替换为跳转语句。难点在于定位一个完整的指令（类似于一个反编译器） PATCH IAT的函数。 如果在一段代码中有一条指令： 228738fd ff15eb0f107d ?call ? [7d100febh]? ? 把它替换成新的指令 Call [Address of virus]? ? 在病毒体内还要再次调用Call [7d100febh]来完成宿主程序的功能。代码如下： dw ff15h ;ff15eb0f107d的前缀? ? backaddr dd 0 ;存放ff15eb0f107d的后缀，这个后缀是变化的 在病毒代码中，把backaddr的值动态的改为Call [7d100febh]指令编译后的后缀。 4 抗分析技术 加密技术：这是一种防止静态分析的技术，使得分析者无法在不执行病毒的情况下，阅读加密过的病毒程序。 反跟踪技术：使得分析者无法动态跟踪病毒程序的运行。 Win95.Flagger病毒 4 抗分析技术：自加密技术 数据加密（信息加密） 例如：6.4计算机病毒就是这样处理的，计算机病毒发作时将在屏幕上显示的字符串被用异或操作的方式加密存储。 1575 病毒加密数据文件。加密文件名COMMAND.COM 病毒代码加密 Chinese Bomb把宿主程序前6个字节加密并转移位置。 1701/1704用宿主程序的长度作为