计算机病毒技术特征 上海交通大学信息安全工程学院
计算机病毒技术特征 上海交通大学信息安全工程学院
常见计算机病毒的技术特征 驻留内存 病毒变种 EPO(Entry Point obscuring )技术 抗分析技术(加密、反跟踪) 隐蔽性病毒技术 多态性病毒技术 插入型病毒技术 超级病毒技术
一、常见计算机病毒的技术特征 • 驻留内存 • 病毒变种 • EPO(Entry Point Obscuring)技术 • 抗分析技术(加密、反跟踪) • 隐蔽性病毒技术 • 多态性病毒技术 • 插入型病毒技术 • 超级病毒技术
破坏性感染技术 ·病毒自动生产技术 网络病毒技术
• 破坏性感染技术 • 病毒自动生产技术 • 网络病毒技术
1驻留内存 DOS TSR DOS系统区 空闲区域 内存块1 为毒分配一块内存 为病毒分配的内存块 内存控制块(MCB) 内存块2 高端内存区域 空闲区域 视频内存块 空闲区域 断向量表 空闲区域 DOS病毒驻留内存位置示意图
1 驻留内存:DOS TSR DOS系统区 内存控制块(MCB) 内存块1 为病毒分配的内存块 内存块2 为病毒分配一块内存 高端内存区域 视频内存块 中断向量表 空闲区域 病毒代码 空闲区域 空闲区域 空闲区域 DOS病毒驻留内存位置示意图
1驻留内存:引导区病毒的内存驻 留 大小在1K或者几K 为了避免用户可以很容易的觉察到系统可 用内存的减少,一些病毒会等待DOS完全 启动成功,然后使用DOS自己的功能分配 内存。 不用考虑重载
1 驻留内存:引导区病毒的内存驻 留 • 大小在1K或者几K • 为了避免用户可以很容易的觉察到系统可 用内存的减少,一些病毒会等待DOS完全 启动成功,然后使用DOS自己的功能分配 内存。 • 不用考虑重载
1驻留内存: Windows环境下病毒 的内存驻留 ·三种驻留内存的方法 由于 Windows操作系统本身就是多任务的,所以最简 单的内存驻留方法是将病毒作为一个应用程序,病毒 拥有自己的窗口(可能是隐藏的)、拥有自己的消息 处理函数; 另外一种方法是使用DPM|申请一块系统内存,然后将 病毒代码放到这块内存中; 第三种方法是将病毒作为一个∨XD(Wn3x或者Wn9x 环境下的设备驱动程序)或者在 Win nt/Win2000下 的设备驱动程序WDM加载到内存中运行
1 驻留内存:Windows环境下病毒 的内存驻留 • 三种驻留内存的方法 – 由于Windows操作系统本身就是多任务的,所以最简 单的内存驻留方法是将病毒作为一个应用程序,病毒 拥有自己的窗口(可能是隐藏的)、拥有自己的消息 处理函数; – 另外一种方法是使用DPMI申请一块系统内存,然后将 病毒代码放到这块内存中; – 第三种方法是将病毒作为一个VXD(Win3.x或者Win9x 环境下的设备驱动程序)或者在Win NT/Win2000下 的设备驱动程序WDM加载到内存中运行
防止重载的方法 传统的防止重入方法 禁止启动两个实例 对于XD病毒 静态加载时,病毒会在“ SYSTEMIN|文件中包含 加载设备驱动程序的一行信息; 动态加载时,可能使用某些英特尔CPU的一些特殊 状态位来表示病毒是否存在于内存中(CH病毒就 米用了这种方法)
• 防止重载的方法 – 传统的防止重入方法 • 禁止启动两个实例 – 对于VXD病毒 • 静态加载时,病毒会在“SYSTEM.INI”文件中包含 加载设备驱动程序的一行信息; • 动态加载时,可能使用某些英特尔CPU的一些特殊 状态位来表示病毒是否存在于内存中(CIH病毒就 采用了这种方法)
1驻留内存:宏病毒的内存驻留方 法 病毒随着宿主程序而被加载并且一直存在 于系统中,所以从某种意义上,宏病毒都 是内存驻留病毒。 宏病毒通过检测自己的特征防止重入
1 驻留内存:宏病毒的内存驻留方 法 • 病毒随着宿主程序而被加载并且一直存在 于系统中,所以从某种意义上,宏病毒都 是内存驻留病毒。 • 宏病毒通过检测自己的特征防止重入
2病毒变种 变形 变种——〉新品种 ·两种方式: 手工变种 自动变种( Mutation Engine:变形机) 保加利亚的 Dark Avenger的变形机最著名
2 病毒变种 • 变形 • 变种——〉新品种 • 两种方式: – 手工变种 – 自动变种(Mutation Engine:变形机) – 保加利亚的Dark Avenger的变形机最著名
分类 第一类,具备普通病毒所具有的基本特性,然而,病毒每感染一个目标后, 其自身代码与前一被感染目标中的病毒代码几乎没有 连续的字节是相 的,但这些代码及其相对空间的排列位置是不变动的。这里称其为一维变形 病毒 第二类,除了具备一维变形病毒的特性外,并且那些变化的代码相互间的排 列距离(相对空间位置)也是变化的,有的感染文件的字节数不定。这里称 其为二维变形病毒 第三类,具备二维变形病毒的特性,并且能分裂后分别潜藏在几处,随便某 处的子病毒被激发后都能自我恢复成一个完整的病毒。病毒在附着体上的 间位置是变化的,即潜藏的位置不定。例如,在某台机器中,病毒的一部 分可能藏在机器硬盘的主引导区中,另外几部分也可能潜藏在可执行文件中 也可能潜藏在覆盖文件中,也可能潜藏在系统引导区,也可能另开垦一块区 域漕癒等。在另二食被感染的机器内,病毒可能又改变了其潜藏的位置。 第四类,具备三维变形病毒的特性,并且,这些特性随时间动态变化。例如, 在染毒的机器中,刚开机时病毒在内存里变化为一个样 段时间后又变 成了另一个样子,再次开机后病毒在内存里文是一个不同的样子。这里称萁 为四维变形病毒
分类 • 第一类,具备普通病毒所具有的基本特性,然而,病毒每感染一个目标后, 其自身代码与前一被感染目标中的病毒代码几乎没有三个连续的字节是相同 的,但这些代码及其相对空间的排列位置是不变动的。这里称其为一维变形 病毒。 • 第二类,除了具备一维变形病毒的特性外,并且那些变化的代码相互间的排 列距离(相对空间位置)也是变化的,有的感染文件的字节数不定。这里称 其为二维变形病毒。 • 第三类,具备二维变形病毒的特性,并且能分裂后分别潜藏在几处,随便某 一处的子病毒被激发后都能自我恢复成一个完整的病毒。病毒在附着体上的 空间位置是变化的,即潜藏的位置不定。例如,在某台机器中,病毒的一部 分可能藏在机器硬盘的主引导区中,另外几部分也可能潜藏在可执行文件中, 也可能潜藏在覆盖文件中,也可能潜藏在系统引导区,也可能另开垦一块区 域潜藏等等。在另一台被感染的机器内,病毒可能又改变了其潜藏的位置。 这里称其为三维变形病毒。 • 第四类,具备三维变形病毒的特性,并且,这些特性随时间动态变化。例如, 在染毒的机器中,刚开机时病毒在内存里变化为一个样子,一段时间后又变 成了另一个样子,再次开机后病毒在内存里又是一个不同的样子。这里称其 为四维变形病毒