第七讲 病毒技巧讲述.pdf

《计算机病毒分析与对抗》第七讲 第七讲病毒技巧 武汉大学计算机学院彭国军 guojpeng@ 1. 病毒的隐藏技术 2. 花指令 3. 计算机病毒的简单加密 4. 病毒的多态 5. 病毒的变形技术 6. 加壳技术 7. 病毒代码的优化 8. 脚本加密技术 9. 异常处理 10.其它病毒免杀技术 11.其它病毒免杀技术 1.病毒的隐藏技术 病毒在入侵系统之后，往往会采取种种方法 隐藏自己的行踪，让用户无法感知病毒的存 在，不同的病毒会采用不同的技术来达到这 个目的。 引导型病毒的隐藏技术 嵌入文件的隐藏技术 Windows病毒的隐藏技术 RootKit隐藏技术 1.1引导型病毒的隐藏技术 拦截针对特定扇区的读请求 改变基本输入输出系统（BIOS）中断13H的入 口地址使其指向病毒代码，当发现有调用 INT13H读被感染扇区的请求的时候，用正常 13H中断代码进行操作返回给调用的程序。 读扇区调用 DOS应用程序 DOS下的杀毒软件 返回数据 病毒感染后的INT13H服务程序 读请求 原来的INT13H服务程序 被病毒感染的扇区 读请求 返回数据 返回数据 被病毒感染的扇区的原始扇区 普通扇区 普通扇区 针对反病毒软件的隐藏 当启动任何程序的时候（包括反病毒程 序），修改DOS执行程序的中断功能，首先 把被病毒感染的扇区恢复原样，这样即使反 病毒程序采用直接磁盘访问也只能看到正常 的磁盘扇区，当程序执行完成后再重新感染。 DOS 命令解释程序（COMMAND..COM ） 用户敲入AV.EXE执行反病毒程序 感染后的INT 21H功能40H （加载一个程序执行） 恢复被病毒感染的扇区为原来的内容 原来的INT21H功能 重新感染扇区 返回DOS命令解释程序（COMMAND..COM ） 1.2 嵌入文件的隐藏技术 Word ／Excel中禁止菜单：“文件” －“模板” 或者“工具” －“宏” 可以通过宏病毒代码删除菜单项，或者宏病毒 用自己的FileTemplates和ToolsMacro宏替代 系统缺省的宏。 格式文件之间的交叉引用 例如在Word文档中插入恶意图片，或者将 JavaScript恶意代码插入PDF文档 1.3 Windows病毒的隐藏技术 不改变文件时间 不改变文件大小 在文件空隙中插入病毒片断 文件、注册表隐藏 病毒启动之后删除病毒文件、注册表键值 进程隐藏 Win98下创建服务进程 Win2000下创建远程线程，等等 1.4 RootKit隐藏技术 在Windows环境下，RootKit是指其主要功 能为隐藏其他软件存在痕迹的程序，其可能 是一个或一个以上的程序组合。 Hackerdefender(hxdef) 在Windows平台上比较成熟的RootKit技术 主要有SSDT Hook，直接内存对象修改等。 利用这样的技术，病毒可以达到从驱动层隐