新型计算机病毒发展趋势及特点和技术.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * 4.3.4 计算机病毒隐藏技术 采用“隐藏”技术的计算机病毒表现形式： 计算机病毒在内存中时，若查看被该计算机病毒感染的文件，则看不到计算机病毒的程序代码，只看到原正常文件的程序代码。 计算机病毒在内存中时，若查看被计算机病毒感染的引导扇区，则只会看到正常的引导扇区，而看不到实际上处于引导扇区位置的计算机病毒程序。 计算机病毒在内存中时，计算机病毒防范程序和其他工具程序检查不出中断向量被计算机病毒接管，但实际上计算机病毒代码已链接到系统的中断服务程序中 4.3.4 计算机病毒隐藏技术 1．静态隐藏技术 静态隐藏技术：指计算机病毒代码依附在宿主程序上时所拥有的固有的隐蔽性 一般由父病毒在感染目标程序时，依照目标程序的特性，产生特定的子病毒，使其能隐蔽在宿主程序中而不被发现 秘密行动法 秘密行动法：通过清除感染程序所留下的痕迹，恢复宿主文件的特征，向查询者返回虚假信息，而达到隐藏病毒的目的 碎片技术：利用Windows环境PE可执行文件分段存储，而各段有一些未使用的剩余空间这一特征，将自身分割成小块，隐藏在内存空隙中，从而消除病毒改变文件长度的缺陷 4.3.4 计算机病毒隐藏技术 秘密行动法：引导型病毒的隐藏方法一 感染时，修改中断服务程序 使用时，截获INT 13调用 读请求 读请求 返回数据 返回数据 返回数据 DOS应用程序 原来的INT13H服务程序 DOS下的杀毒软件 病毒感染后的INT13H服务程序 普通扇区 普通扇区 被病毒感染的扇区 被病毒感染的扇区的原始扇区 读扇区调用 4.3.4 计算机病毒隐藏技术 秘密行动法：引导型病毒的隐藏方法二 针对杀毒软件对磁盘直接读写的特点，截获 INT 21H，然后恢复感染区，最后，再进行感染。 感染后的INT 21H功能40H（加载一个程序执行） 执行反病毒程序 恢复被病毒感染的扇区为原来的内容 原来的INT21H功能 重新感染扇区 返回DOS命令解释程序（COMMAND..COM） DOS命令解释程序（COMMAND..COM） 4.3.4 计算机病毒隐藏技术 秘密行动法：文件型病毒的隐藏方法 拦截（API, INT调用）访问 —— 恢复 —— 再感染 DOS INT21H调用 隐藏病毒扇区 列目录时显示感染前的文件大小 读写文件看到正常的文件内容 执行或者搜索时隐藏病毒 在支持长文件名的系统隐藏自身 INT13H（直接磁盘访问） 列目录功能 读写功能(Read、Write) 执行功能（EXEC） 其他功能（rename等） 视窗操作系统下，支持长文件名的扩展DOS调用 4.3.4 计算机病毒隐藏技术 自加密技术 计算机病毒可以对静态计算机病毒加密，同时也可以对进驻内存的动态计算机病毒进行加密 Mutation Engine多态技术 采用特殊的加密技术，每感染一个对象，放入宿主程序的代码都不相同，几乎没有任何特征代码串，从而能有效对抗采用特征串搜索法类杀毒软件的查杀 插入性病毒技术 插入性病毒在不了解宿主程序的功能和结构的前提下，能将宿主程序在适当处截断，在宿主程序的中部插入病毒程序，并做到使病毒能获得运行权，达到与宿主程序融为一体 4.3.4 计算机病毒隐藏技术 2．动态隐藏技术 动态隐藏技术：指计算机病毒代码在驻留、运行和发作期间所拥有的隐蔽性 计算机病毒利用操作系统的功能和漏洞，后台执行监视和感染的功能，防止被一般的内存或进程管理程序发现 反Debug跟踪技术 Debug主要利用系统中断INT 1和INT 3进行动态跟踪。计算机病毒抑制跟踪的方法主要是修改INT 1和INT 3中断服务程序入口地址的内容来破坏跟踪 此外，常见的其他反跟踪技术有：封锁键盘输入、封锁屏幕输出等 4.3.4 计算机病毒隐藏技术 检测系统调试寄存器，防止计算机病毒被动态跟踪调试 现在的操作系统中出现了很多功能强大的调试工具。计算机病毒可采取一定的方法来进行检测： 计算机病毒通过调用API函数IsDebuggerPresent来检测是否有用户级调试器存在 检测调试寄存器 设置SHE进行反跟踪。SEH即结构化异常处理，是操作系统提供给程序设计者的强有力的处理程序错误或异常的武器 计算机病毒通过软件对调试器进行检测操作，很容易进行拦截 4.3.4 计算机病毒隐藏技术 进程注入技术 进程注入技术将病毒作为一个线程，注入系统应用程序如Explore.exe的地址空间，对于系统此应用程序是绝对安全的程序，这样病毒在驻留内存的同时就达到了隐藏的效果 超级计算机病毒技术 计算机病毒采用VxD技术，如CIH病毒 VxD——