OD使用教程21 - 解密系列【调试篇】 多态和变形.ppt

OD使用教程21 今天我们的主题是：眼见非实 譬如。。。。。。 多态和变形 多态是第一种对杀毒软件造成严重威胁的技术。 一个多态病毒在触发时由解密模块进行解密，在感染时由加密模块进行加密并感染，但其加密模块在每一次的感染中会有所修改。 因此，一个仔细设计的多态病毒在每一次感染中没有一个部分是相同的。这使得使用病毒特征码进行侦测变得困难。杀毒软件必须在一模拟器上对该病毒加以解密进而侦知该病毒，或是利用加密病毒其统计样板上的分析。 多态和变形 变形病毒是为了避免被杀毒软件通过模拟环境或“蜜罐”系统而被查杀。变形病毒在每一次的感染都完全将其自身改写（简单地说就是厉害到可以变得连他妈都认不出他来）。 有些变形病毒可以感染多个操作系统，如Simile病毒可以感染windows的PE文件和Linux的ELF文件。 变形病毒要达到可变形，一个变形引擎是必需的。一个变形病毒通常非常庞大且复杂，就拿Simile来说，该病毒包含了14000行汇编语言，其中90%都是变形引擎。