最新网络安全--恶意代码.pptVIP

反跟踪技术 恶意代码采用反跟踪技术可以提高自身的伪装能力和防破译能力，增加检测与清除恶意代码的难度。 目前常用的反跟踪技术有两类：反动态跟踪技术和反静态分析技术。 精品文档 反动态跟踪技术 反动态跟踪技术主要包括4方面内容： （1）禁止跟踪中断。针对调试分析工具运行系统的单步中断和断点中断服务程序，恶意代码通过修改中断服务程序的入口地址实现其反跟踪目的。“1575”计算机病毒采用该方法将堆栈指针指向处于中断向量表中的INT 0至 INT 3区域，阻止调试工具对其代码进行跟踪。 （2）封锁键盘输入和屏幕显示，破坏各种跟踪调试工具运行的必需环境； （3）检测跟踪法。检测跟踪调试时和正常执行时的运行环境、中断入口和时间的差异，根据这些差异采取一定的措施，实现其反跟踪目的。例如，通过操作系统的API 函数试图打开调试器的驱动程序句柄，检测调试器是否激活确定代码是否继续运行。 （4）其它反跟踪技术。如指令流队列法和逆指令流法等。 精品文档 反静态分析技术 反静态分析技术主要包括两方面内容： （1）对程序代码分块加密执行。为了防止程序代码通过反汇编进行静态分析，程序代码以分块的密文形式装入内存，在执行时由解密程序进行译码，某一段代码执行完毕后立即清除，保证任何时刻分析者不可能从内存中得到完整的执行代码； （2）伪指令法(Junk Code)。伪指令法系指在指令流中插入“废指令”，使静态反汇编无法得到全部正常的指令，不能有效地进行静态分析。例如，“Apparition”是一种基于编译器变形的Win32 平台的病毒，编译器每次编译出新的病毒体可执行代码时都要插入大量的伪指令，既达到了变形的效果，也实现了反跟踪的目的。此外，伪指令技术还广泛应用于宏病毒与脚本恶意代码之中。 精品文档 2. 加密技术 加密技术是恶意代码自我保护的一种手段，加密技术和反跟踪技术的配合使用，使得分析者无法正常调试和阅读恶意代码，不知道恶意代码的工作原理，也无法抽取特征串。从加密的内容上划分，加密手段分为信息加密、数据加密和程序代码加密三种。 大多数恶意代码对程序体自身加密，另有少数恶意代码对被感染的文件加密。例如，“Cascade”是第一例采用加密技术的DOS环境下的恶意代码，它有稳定的解密器，可以解密内存中加密的程序体。“Mad ”和“Zombie”是“Cascade”加密技术的延伸，使恶意代码加密技术走向32位的操作系统平台。此外，“中国炸弹”(Chinese bomb)和“幽灵病毒”也是这一类恶意代码。 精品文档 模糊变换技术 利用模糊变换技术，恶意代码每感染一个客体对象时，潜入宿主程序的代码互不相同。同一种恶意代码具有多个不同样本，几乎没有稳定代码，采用基于特征的检测工具一般不能识别它们。随着这类恶意代码的增多，不但使得病毒检测和防御软件的编写变得更加困难，而且还会增加反病毒软件的误报率。目前，模糊变换技术主要分为5种： （1）指令替换技术。模糊变换引擎（Mutation Engine）对恶意代码的二进制代码进行反汇编，解码每一条指令，计算出指令长度，并对指令进行同义变换。例如，将指令XOR REG，REG 变换为SUB REG，REG；寄存器REG1和寄存器REG2进行互换；JMP指令和CALL指令进行变换等。例如，“Regswap”采用了简单的寄存器互换的变形技术。 （2）指令压缩技术。模糊变换器检测恶意代码反汇编后的全部指令，对可进行压缩的一段指令进行同义压缩。压缩技术要改变病毒体代码的长度，需要对病毒体内的跳转指令进行重定位。例如指令MOV REG/ ADD REG变换为指令MOV REG指令MOV REG/ PUSHREG变换为指令PUSH。 （3）指令扩展技术。扩展技术把每一条汇编指令进行同义扩展，所有压缩技术变换的指令都可以采用扩展技术实施逆变换。扩展技术变换的空间远比压缩技术大的多，有的指令可以有几十种甚至上百种的扩展变换。扩展技术同样要改变恶意代码的长度，需要对恶意代码中跳转指令进行重定位。 （4）伪指令技术。伪指令技术主要是对恶意代码程序体中插入无效指令，例如空指令；JMP 下一指令和指令PUSH REG/MOV REGPOP REG等。 （5）重编译技术。采用重编译技术的恶意代码中携带恶意代码的源码，需要自带编译器或者操作系统提供编译器进行重新编译，这种技术既实现了变形的目的，也为跨平台的恶意代码出现打下了基础。尤其是各类Unix/Linux操作系统，系统默认配置有标准C的编译器。宏病毒和脚本恶意代码是典型的采用这类技术变形的恶意代码。造成全球范围传播和破坏的第一例变形病毒是“Tequtla”，从该病毒的出