病毒的自我保护技术.docVIP

病毒的自我保护技术 　　摘要:病毒得自我保护技术包括被动保护技术和主动保护技术两大类。被动保护技术主要采取隐匿、多态、变异和惰化抗病毒软件几种技术来避免被发现和被清除。主动保护技术包括干扰这些安全软件运行,修改主机hosts文件来阻止反病毒程序升级等方式。 　　关键词:病毒;自我保护;杀毒 　　中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)21-5739-02 　　针对杀毒软件各种查杀手段,病毒也发展出各种方法应对杀毒软件。病毒得自我保护技术包括被动保护技术和主动保护技术两大类。 　　1 被动保护技术 　　被动保护技术主要采取隐匿、多态、变异和惰化抗病毒软件几种技术来避免被发现和被清除。[1] 　　1.1隐匿 　　隐匿指的是病毒在被感染系统中隐藏自己存在的过程。伴侣病毒经常使用的原始的隐匿方法是简单设置病毒文件肋“隐藏”属性,尽可能让受害者在文件目录列表中找不到它。流伴侣病毒有一个更强大的隐匿组件,当它们附着在宿主上时,并不产生新的文件,而且大多数的工具软件都会报告被感染文件的长度没有发生变化。在一个使用NTFS文件系统的Windows计算机中,这些病毒藏身于可变动数据流中,而这些数据流与系统中一些正常文件相关联。 　　另一种隐匿方法是病毒截获反病毒程序的读文件企图,并提供文件的未感染版本让反病毒程序扫描。当扫描程序读取已经被感染的文件时,被感染的文件显示的却是一个来被感染的假象。在另一种隐匿的情况下,一个病毒可能会故慢它感染和破坏文件的速度,致使用户很长时间后才意识到发生了什么。[2] 　　1.2 多态和变异 　　多态是恶意代码在并不实际改变自己基本功能的前提下修改自己的外观,以此来防止被发现的过程。多态这个术语可以形象地说是代码在同样的功能下可能采取多种形式。使用这项技术,病毒代码在每次运行时都会动态地改变自己。在完全不同的代码基础上仍然具有同样的功能,基于病毒代码以前形式的任何特征码将无法检测到变形后的新病毒版本。在基于脚本的病毒中实现这种技术的最简单方法之一可能是让病毒在感染一个新主机之前修改其内部变量和子程序的名称,这些名称通常是随机选取的,目的是为了使创建病毒样本特征码的工作更加复杂。 　　一种实现多态技术韵做法是调整包含在病毒体内的指令的顺序。病毒也可能通过插入不做任何事情的指令来修改自己的特征码,例如为一个值减去l再加上l。这些在功能上的无用指令可以使代码保持原来的功能,但是可以逃避基于特征码的检测。[3] 　　一种多态技术是一个病毒对自己的大部分代码进行加密,留下的明码只是在运行时对自己的加密代码自动解密的必要指令。病毒通常会使用随机产生的不同密钥为自己加密,并把这个密钥嵌入到自己代码的某个位置。然后改变解密算法的样子,以此来干扰基于特征码的病毒扫描程序。1992年左右发布的MtE变形引擎是第1个通过变异解密算法使任意恶意代码具有多态功能的工具。 　　变异用了这样的过程,即在病毒传播的过程中通过稍微改变其功能来进一步变异病毒样本。一般情况下,为了保证病毒躲避检测并且不减弱自身的破坏能力。其实现方法非常巧妙,变异病毒经常通过改变变异倒程和加密例程的位置来改变自己的文件结构。另外,变异实例能够动态地对自身进行分解,例如Smile改变自己的代码,然后重新组装成可执行的形式。 　　1.3 堕化 　　恶意代码试图保护自己的方法之一是使目标机器上的反病毒机制失效,最突出的惰化对象是被感染系统上运行的反病毒软件的进程。使用这种技术最成功的病毒能够在不知不觉中进入系统,然后赶在被检测到或者在用户更新病毒特征码数据库之前快速地让反病毒软件失效。 　　ProcKill特洛伊就是这样的病毒样本的一个例子,它拥有一个超过200个进程名称列表,这些进程通常属于反病毒软件和个人防火墙。一旦被载入系统。ProcKill就搜索正在运行进程的列表,并中止那些在此列表中的进程[2-4]。在没有反病毒软件和个人防火墙进程运行的情况下,病毒就可以随意地感染和改变系统。 　　在2000年出现的MTX蠕虫,病毒对这一技术进行了有趣的扩充,MTX在感染了系统之后,它会监视受害者对Intemet的访问,然后阻塞对可能是反病毒服务提供商的网站的访问,类似这样的方法会阻止用户轻松地安装反病毒软件或者更新病毒特征码数据库,如果你不能使用升级病毒特征码数据库功,就不会检测出被感染的病毒。[4] 　　还有一些病毒试图绕过的Microsoft Office强制的安全限制,Microsoft Office允许避开对VB Project对象的访问,这些对象包含了经常被宏病毒用来感染新文档的命令。这个限制通过注册表设最控制,而病毒可以操纵注册表。如果用户允许被感染文档的宏执行,病毒就会改变这个注册表设置,删