第4章_新型计算机病毒的发展趋势及特点和技术（精品课件）（可编辑）.docVIP

第4章_新型计算机病毒的发展趋势及特点和技术（精品课件） INT13H(直接磁盘访问) DOS INT21H调用 列目录时显示感染前的文件大小 列目录功能 读写功能Read、Write 读写文件看到正常的文件内容 执行功能(EXEC) 执行或者搜索时隐藏病毒 其他功能(rename等) 视窗操作系统下,支持长文件名 在支持长文件名的系统隐藏自身 的扩展DOS调用4.3.4 自加密技术 计算机病毒可以对静态计算机病毒加密,同时也可以对进驻 内存的动态计算机病毒进行加密 ?Mutation Engine 多态技术 采用特殊的加密技术,每感染一个对象,放入宿主程序的代 码都不相同,几乎没有任何特征代码串,从而能有效对抗采用 特征串搜索法类杀毒软件的查杀插入性病毒技术 插入性病毒在不了解宿主程序的功能和结构的前提下,能将 宿主程序在适当处截断,在宿主程序的中部插入病毒程序,并 做到使病毒能获得运行权,达到与宿主程序融为一体4.3.4 2.动态隐藏技术 动态隐藏技术:指计算机病毒代码在驻留、运行和发作期间所 拥有的隐蔽性 计算机病毒利用操作系统的功能和漏洞,后台执行监视和感 染的功能,防止被一般的内存或进程管理程序发现反Debug 跟踪技术 Debug 主要利用系统中断INT 1和INT 3进行动态跟踪。计算 机病毒抑制跟踪的方法主要是修改INT 1和INT 3中断服务程序 入口