第8章 计算病毒常用技术综述.pptVIP

计算机病毒与反病毒技术 主要内容 计算机病毒的隐藏技术 计算机病毒驻留内存技术 计算机病毒的变形技术 计算机病毒的反跟踪、反调试、反分析技术 8.1.1 引导型病毒的隐藏技术 引导病毒的隐藏方法 8.1.2 文件型病毒的隐藏技术 文件型病毒在打开文件的时候将文件的内容恢复到未感染的状态，在关闭文件的时候重新进行感染 由于访问文件的方式、方法非常多，所以实现完全的文件型病毒隐藏是一件非常困难的事情。一套较完整的隐藏技术应该改包括对如图所示几个方面的处理 8.1.3 宏病毒的隐藏技术 宏病毒的隐藏技术比较简单 在Word、Excel等软件中禁止菜单“文件→模板”或者“工具→宏” 通过宏病毒代码删除菜单项 宏病毒用自己的FileTemplates和ToolsMacro宏替代系统缺省的宏 也可以采用5.3节中讨论的隐藏技术 8.1.4 Windows病毒的隐藏技术 以系统服务程序方式进行隐藏 拦截枚举进程的API函数 动态嵌入式隐藏 8.2.1 加密解密技术与病毒的多态性 多态病毒的框架 多态病毒是改进了的加密病毒，由变化的解密头和加密的代码组成。多态病毒运行时，先执行的是解密代码，对加密代码解密，然后执行刚解密的代码，也就是实现传播的主体代码 8.2.1 加密解密技术与病毒的多态性 8.2.1 加密解密技术与病毒的多态性 多态病毒加密与普通加密的差别 每条解密指令都不是固定