计算机病毒常用技术综述
- 格式:ppt
- 大小:350.50 KB
- 文档页数:44
文档推荐
-
计算机控制技术(清华大学)页数:83
-
PID控制技术第一章概述..页数:38
-
计算机控制技术论文页数:5
-
计算机控制技术综述及发展方向页数:5
-
计算机控制技术术语页数:54
-
计算机控制页数:63
-
计算机控制技术的综述页数:11
下载文档原格式
合集下载
计算机网络应用病毒防护技术
计算机网络应用病毒防护技术随着计算机网络的广泛应用,网络安全问题日益成为人们关注的焦点。
网络病毒作为网络安全的一大威胁,已成为网络攻击的主要手段之一。
网络病毒具有隐蔽性高,传染速度快,危害性大等特点,对于网络安全产生了巨大的危害。
为了保障网络安全,现在已经出现了各种各样的网络病毒防护技术,下面就对这些技术进行一一介绍。
一、杀毒软件防护技术杀毒软件是网络病毒防护的基础,杀毒软件就是指针对病毒的专业程序,其目的是不断识别并杀掉各种病毒。
杀毒软件通常分为实时监控型和定时检查型。
实时监控型杀毒软件会对系统内所有的文件及流量进行实时监控,当发现病毒时会及时做出相应的处理;定时检查型杀毒软件则是定期对计算机进行杀毒检查。
杀毒软件的优点是易于操作、使用方便,对于普通用户来说,杀毒软件可以起到一定的技术防护作用。
但杀毒软件也有它的局限性,例如对于某些新型病毒,杀毒软件不具备识别和清除的能力。
此外,由于特定的病毒可以对抗杀毒软件,通过修改自身代码来避免被杀毒软件检测和消除,从而使杀毒软件失去防护效果。
二、防火墙技术防火墙技术可以有效地防止网络病毒的攻击,它是一组网络安全设备,用于控制网络流量,从而保护内部网络免受来自外部网络的攻击。
防火墙可以实现对所有进出网络流量的严格控制,限制恶意程序的传播,可以识别和限制特定类型的数据包。
防火墙还可以通过日志记录和警报机制监测网络病毒的攻击情况,并对异常流量进行拦截。
防火墙的优点是可以有效地保障网络安全,实现细粒度的访问控制,并能够防止网络攻击和病毒的侵害。
但防火墙只能对外部网络的流量进行过滤,并不能对计算机内部的病毒进行清除。
此外,针对某些高级的病毒攻击,防火墙也无法提供完整的保护。
三、入侵检测技术入侵检测技术是一种基于网络流量或主机上的行为分析,来识别计算机系统中是否存在入侵行为的技术。
入侵检测可以分为网络入侵检测和主机入侵检测两种。
网络入侵检测主要是分析网络流量,检测是否存在针对网络系统的攻击行为。
计算机病毒防护技术介绍
计算机病毒防护技术介绍计算机病毒是一种针对计算机系统及其数据进行破坏、传播和控制的恶意软件。
随着互联网的普及和计算机技术的发展,计算机病毒的种类和威胁程度也在不断增加。
因此,为了保护计算机系统的安全,有效的计算机病毒防护技术显得尤为重要。
1. 杀毒软件杀毒软件是一种能够及时发现、隔离和消除计算机病毒的软件工具。
它通过不断更新恶意代码库来识别和清除各类病毒,保护计算机系统的安全。
杀毒软件通常具有实时监控功能,能够及时检测病毒的入侵行为,并进行自动拦截和处理。
2. 防火墙防火墙是一种位于计算机系统和外部网络之间的安全设备,可以监控和控制计算机系统与外部网络之间的数据流量。
防火墙能够根据预设的安全策略,对数据进行过滤和检测,防止恶意软件通过网络传播到计算机系统中。
通过设置防火墙规则,可以限制指定的IP地址或端口访问计算机系统,提高系统的安全性。
3. 安全补丁安全补丁是由软件厂商发布的修复程序,用于修复已知的系统漏洞和安全隐患。
计算机病毒往往利用系统漏洞来进行攻击和传播,因此及时安装、更新安全补丁是防止计算机病毒入侵的关键措施。
操作系统、浏览器、办公软件等常用软件都会推出安全补丁,用户应及时更新以提高系统的安全性。
4. 强密码和多因素认证强密码是一种由大小写字母、数字和特殊字符组成的长密码,足够复杂以防止被破解。
使用强密码可以有效防止计算机病毒通过猜测密码的方式入侵系统。
多因素认证是一种在输入密码之外,还需提供其他验证因素的登录方式,如手机验证码、指纹识别等。
多因素认证可以增加系统的安全性,防止非法登录和账户被盗。
5. 定期备份数据定期备份数据是一种防止计算机病毒对系统数据造成永久损失的重要手段。
当计算机系统受到病毒攻击时,备份数据可以帮助恢复系统和文件。
用户可以选择将重要数据备份到外部存储设备或云存储平台,在系统受到损坏或数据丢失时恢复数据。
综上所述,计算机病毒的防护技术是多方面的。
综合使用杀毒软件、防火墙、安全补丁、强密码和多因素认证等多种技术手段,可以提高计算机系统的安全性。
关于计算机病毒信息技术知识
用户安全意识不强
许多用户缺乏基本的安全意识 ,容易成为病毒攻击的目标。
法规制度不健全
针对计算机病毒的法规制度还 不够完善,难以有效制约病毒
制造者的行为。
06
安全防范意识与建议
提高用户安全防范意识
了解计算机病毒危害
用户应了解计算机病毒的危害、传播途径以及常见的安全漏洞,避免随意打开未 知来源的邮件、下载不明链接或接受非正规渠道的文件。
未来发展趋势
更多类型的病毒
随着新技术的不断发展,未来 将会出现更多类型的计算机病
毒。
更强的破坏性
病毒制造者会利用新技术,制造 出破坏性更强的病毒。
更隐蔽的攻击方式
未来病毒的攻击方式将会更加隐蔽 ,难以被用户发现。
面临的挑战
安全防御能力不足
新技术的发展速度超过了安全 防御技术的发展速度,使得安
全防御面临挑战。
通过移动存储设备传播
移动硬盘
当移动硬盘被感染病毒后,通过插入被感染的电脑进行数据 传输。
U盘
U盘被病毒感染后,通过双击打开或自动播放等方式感染电脑 。
通过漏洞传播
系统漏洞
利用操作系统或应用程序的漏洞进行传播,如蠕虫病毒。
数据库漏洞
针对数据库系统的漏洞进行攻击,如SQL注入病毒。
预防措施
安装杀毒软件并定期更新…
04
计算机病毒的检测与清除方法
检测方法
文件病毒检测
通过在系统启动盘或者可执行文件上增加自检程序,在程序运行 时检测是否有病毒存在。
网络病毒检测
通过设置网络系统,检测网络中的数据包,判断是否有病毒在网 络中传播。
内存病毒检测
通过对计算机内存进行检测,发现和清除正在运行的病毒。
计算机网络应用病毒防护技术
计算机网络应用病毒防护技术随着互联网的普及,计算机病毒的威胁也越来越大,因此,在计算机网络应用中,对病毒的防护显得异常重要。
本文将介绍计算机网络应用中常见的病毒防护技术,以及它们的优缺点。
一、病毒的种类计算机病毒广泛存在于计算机网络应用中,主要有以下几种:1.文件型病毒:常见于Windows操作系统中,以文件的形式存在,通过文件传播感染。
例如:Love Letter病毒、ILOVEYOU病毒等。
2.脚本病毒:通常以网页作为载体,通过下载执行植入计算机,感染后会在计算机上建立捆绑文件,并对用户的隐私信息进行窃取。
例如:Melissa病毒、Nimda病毒等。
3.宏病毒:是一种依赖于应用软件的病毒,通过宏命令插入文档中感染计算机。
例如:Word病毒、Excel病毒等。
4.虚拟机病毒:适用于虚拟化环境中,它会感染虚拟机运行的镜像文件和网络。
二、常见的病毒防护技术1.病毒扫描器使用病毒扫描器可以检测并清除计算机系统中的病毒,病毒扫描器依靠特定的病毒库文件,对系统中的文件逐一扫描,一旦发现有病毒,就会及时删除或者隔离。
优点:•一旦安装病毒库,就能自动扫描并清除病毒,非常方便。
•可以自动升级病毒库文件,保证病毒扫描的准确性。
缺点:•无法预防新的病毒攻击。
•病毒扫描器开销大,可能会影响计算机的运行速度。
2.邮件过滤器邮件过滤器是指通过检测和过滤电子邮件内容来预防病毒的威胁。
它可以过滤大多数的病毒邮件,以及恶意程序。
邮件过滤器通常包含了一些黑名单和白名单,黑名单用来表示不能接受或必须过滤的邮件来源,而白名单则用来表示允许接收的邮件来源。
优点:•邮件过滤器可以有效预防恶意代码的传播。
•通过邮件过滤器,可以过滤出垃圾邮件,减少用户的骚扰。
缺点:•邮件过滤器无法应对不断变换的恶意邮件。
•邮件过滤器需要经常更新邮件来源的黑白名单。
3.防火墙防火墙可以监控网络通信,控制进出网络的数据流量,同时也可以检测和拦截恶意行为和攻击。
计算机病毒详细介绍
05
新型计算机病毒趋势与应 对
勒索软件
勒索软件(Ransomware)
是一种恶意软件,通过锁定或加密用户文件来强制索要赎金。
传播方式
通过电子邮件附件、恶意网站、软件下载等方式传播。
应对措施
保持操作系统和软件的更新,使用可靠的杀毒软件,定期备份重要文件,不轻信陌生邮 件和链接,提高网络安全意识。
蠕虫病毒
计算机病毒详细介绍
汇报人:
汇报时间:202X-01-02
目录
• 计算机病毒概述 • 计算机病毒的传播方式 • 计算机病毒的危害 • 计算机病毒的预防与清除 • 新型计算机病毒趋势与应对
01
计算机病毒概述
定义与特性
01
02
定义
特性
计算机病毒是一种恶意软件,通过复制自身在计算机系统中传播,并 可能破坏、干扰或限制计算机操作。
通过网络传播
网络传播是计算机病毒最主要的传播 方式之一。病毒通过感染网络中的共 享文件、电子邮件附件、恶意网页等 途径,在网络中进行传播和感染。
当用户访问受感染的网站或下载带毒 文件时,病毒就会自动复制并传播到 用户的计算机中,进而感染整个网络 中的计算机。
通过电子邮件附件传播
电子邮件是一种常见的通信方式,病 毒通过伪装成有用的附件或欺骗性的 邮件标题,诱骗用户打开或下载带毒 文件。
越来越复杂、越来越难以防范, 同时与网络犯罪和黑客攻击手段 相结合。
02
计算机病毒的传播方式
通过软盘传播
01
02
软盘是早期计算机常用的存储介质,病毒通过感染软盘的引导扇区或 根目录下的 AUTOEXEC.BAT 文件,当软盘插入受感染的计算机后, 病毒就会被触发并感染该计算机。
计算机病毒防护技术介绍
计算机病毒防护技术介绍随着互联网的高速发展,计算机病毒成为威胁计算机系统安全的主要因素之一。
计算机病毒是一种具有自我复制能力的恶意软件,它会侵入计算机系统,破坏正常的操作和功能。
为了保护计算机系统免受计算机病毒的侵害,人们开发了各种计算机病毒防护技术。
本文将介绍几种常见的计算机病毒防护技术。
1. 防病毒软件防病毒软件是最常见和广泛使用的计算机病毒防护技术之一。
它通过扫描计算机系统中的文件和程序,识别和删除潜在的病毒。
防病毒软件通常具有病毒数据库,其中包含了已知病毒的特征信息。
当扫描程序发现与数据库中的特征匹配的文件时,它将标记为病毒并采取相应的措施。
防病毒软件还可以在实时监控模式下持续监测系统中的活动,以及向用户提供强大的实时保护。
2. 防火墙防火墙是计算机网络中保护主机免受未经授权访问的关键组件。
它可以通过检查传入和传出的网络流量来阻止未经授权的访问和恶意攻击。
防火墙可配置为允许或阻止特定类型的确切网络流量。
这样,它可以有效防止病毒通过网络进入并攻击计算机系统。
防火墙还可以监视网络流量,并对可疑的活动进行警告或拦截。
3. 更新操作系统和软件计算机系统和常用软件的更新也是防治计算机病毒的重要措施之一。
操作系统和软件的开发者经常发布更新和补丁,以修复已知漏洞和安全问题。
这些漏洞往往是病毒利用的入口。
通过及时更新系统和软件,可以保持系统的稳定性和安全性。
此外,为了自动更新操作系统和软件,可以激活自动更新功能。
4. 定期备份数据数据备份是防治计算机病毒的重要方法之一。
计算机病毒可能导致数据损坏、删除或加密。
定期备份数据可以最大限度地减少数据丢失的风险,并提供了一种恢复已受损数据的方法。
备份数据应保存在安全、脱机的位置,以防止病毒通过网络进行传播。
5. 用户教育和网络安全意识培训最后,用户教育和网络安全意识培训是预防计算机病毒的重要环节。
许多计算机病毒是通过欺骗用户或利用他们的疏忽而传播的。
通过进行网络安全意识培训,提高用户对计算机病毒的认识和了解,教育用户如何判断和避免潜在的威胁。
计算机病毒与防范技术第6章 计算机病毒常用技术
• 静态分析的第一步就是通过反汇编软件对计算机病毒进 行反汇编,这样分析员才可以阅读汇编指令。 • 为了欺骗反汇编软件、迷惑分析人员,给分析工作增添 障碍,计算机病毒作者通常会在计算机代码中看似有用 ,其实一无是处的代码,称这些废指令为“花指令”(J unk Code)
计算机病毒与防范技术
版权所有:北京工业大学计算机学院信息安全系
计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系
计算机病毒的反调试、反跟踪、反分析技术
扫描引擎大致可以分为以下几类:
• 静态扫描引擎 • 动态扫描引擎 • 启发扫描引擎
计算机病毒与防范技术
版权所有:北京工业大学计算机学院信息安全系
计算机病毒的反调试、反跟踪、反分析技术
花指令(Junk Code)
计算机病毒与防范技术
版权所有:北京工业大学计算机学院信息安全系
病毒的加密与多态技术
高级代码变形
• 代码重组可以理解为将原代码按照一定的条件分块切割 后,随机地无序地分布在宿主文件中,但在执行时,保 持代码的执行流程和功能不发生改变 • 这种方法经常用于感染型病毒之中,它们在感染一个新 的目标文件时,会根据目标宿主文件中可利用缝隙的分 布情况来切分代码。为了达到准确切分指令的目的,它 们还会携带一个用于计算汇编指令长度的函数
动态改变指令 代码隐蔽技术 入口点隐蔽(EPO)
计算机病毒与防范技术
版权所有:北京工业大学计算机学院信息安全系
计算机病毒的反调试、反跟踪、反分析技术
反动态分析、检测技术
• 检测商用虚拟机
–利用虚拟机预留的“后门” –检测附带工具
• 反-反病毒பைடு நூலகம்真技术
–虚拟CPU –虚拟内存管理单元 –虚拟的操作系统环境
计算机病毒与防范技术
版权所有:北京工业大学计算机学院信息安全系
计算机病毒与防范技术 版权所有:北京工业大学计算机学院信息安全系
计算机病毒的反调试、反跟踪、反分析技术
扫描引擎大致可以分为以下几类:
• 静态扫描引擎 • 动态扫描引擎 • 启发扫描引擎
计算机病毒与防范技术
版权所有:北京工业大学计算机学院信息安全系
计算机病毒的反调试、反跟踪、反分析技术
花指令(Junk Code)
计算机病毒与防范技术
版权所有:北京工业大学计算机学院信息安全系
病毒的加密与多态技术
高级代码变形
• 代码重组可以理解为将原代码按照一定的条件分块切割 后,随机地无序地分布在宿主文件中,但在执行时,保 持代码的执行流程和功能不发生改变 • 这种方法经常用于感染型病毒之中,它们在感染一个新 的目标文件时,会根据目标宿主文件中可利用缝隙的分 布情况来切分代码。为了达到准确切分指令的目的,它 们还会携带一个用于计算汇编指令长度的函数
动态改变指令 代码隐蔽技术 入口点隐蔽(EPO)
计算机病毒与防范技术
版权所有:北京工业大学计算机学院信息安全系
计算机病毒的反调试、反跟踪、反分析技术
反动态分析、检测技术
• 检测商用虚拟机
–利用虚拟机预留的“后门” –检测附带工具
• 反-反病毒பைடு நூலகம்真技术
–虚拟CPU –虚拟内存管理单元 –虚拟的操作系统环境
网络攻击与防护技术综述
网络攻击与防护技术综述随着互联网的普及和应用范围的不断扩大,网络攻击问题也日益严峻。
对于企事业单位以及个人用户来说,网络攻击所带来的损失和威胁是不容忽视的。
为了应对这些网络安全问题,网络防护技术也不断发展和完善。
本文将综述当前常见的网络攻击方式以及相应的防护技术。
一、网络攻击类型1. 木马病毒木马病毒是最常见的一种网络攻击手段,它通过感染用户的计算机,借助潜在的合法程序,窃取用户信息或者实施其他恶意行为。
常见的木马病毒有Keylogger 木马、远程控制木马等。
2. 垃圾邮件垃圾邮件是指发送给大量用户的未经请求的邮件。
垃圾邮件广告的泛滥严重影响了用户体验和网络质量。
对垃圾邮件的防护技术主要包括邮件过滤和反垃圾邮件技术。
3. 网络钓鱼网络钓鱼是指攻击者冒充合法机构或个人,通过伪造网站或利用社交工程等手段,引诱用户泄露个人信息。
针对网络钓鱼攻击,用户应该提高安全意识,警惕可疑链接和信息。
4. DDoS攻击DDoS攻击(分布式拒绝服务攻击)旨在通过洪水式攻击,使目标服务器或网络资源无法正常运作。
为了应对DDoS攻击,常见的防御技术包括流量清洗、限制IP访问和增加带宽容量等。
5. SQL注入SQL注入是一种将恶意的SQL代码注入到应用程序中的攻击方式,通过这种方法攻击者可以绕过身份验证和访问控制机制,进而获取敏感信息。
SQL注入的防护技术包括输入过滤、参数化查询和ORM框架等。
二、网络防护技术1. 防火墙技术防火墙主要通过封锁或过滤网络流量,阻止未授权的访问和攻击行为。
传统的防火墙技术采用基于规则的访问控制列表,而现代的防火墙技术则借助深度包检测、应用层网关和虚拟专用网等技术,提供更为精细化的访问控制和安全策略。
2. 入侵检测和入侵防御系统入侵检测和入侵防御系统(IDS/IPS)能够监测网络中的异常流量和攻击行为,及时发出警报或采取相应的防御措施。
IDS/IPS技术主要包括基于规则和基于行为的入侵检测系统。
简谈计算机病毒
简谈计算机病毒在当今数字化的时代,计算机已经成为我们生活和工作中不可或缺的一部分。
然而,伴随着计算机技术的飞速发展,计算机病毒这一“顽疾”也如影随形,给我们带来了诸多困扰和损失。
计算机病毒,简单来说,就是一段能够自我复制、传播,并对计算机系统造成损害的程序代码。
它就像是一个隐藏在数字世界里的“小恶魔”,总是伺机而动,寻找着系统的漏洞和弱点,然后发起攻击。
计算机病毒的种类繁多,常见的有文件型病毒、引导型病毒、宏病毒等。
文件型病毒通常会附着在可执行文件上,当用户运行这些文件时,病毒就会被激活并开始感染其他文件。
引导型病毒则主要隐藏在计算机的启动扇区中,能够在系统启动时抢先获得控制权,从而进行破坏。
宏病毒则是寄生在文档中的宏代码里,一旦打开带有宏病毒的文档,病毒就会自动运行。
这些病毒的传播途径也是五花八门。
网络无疑是病毒传播的“快车道”。
当我们在网上浏览网页、下载文件、收发邮件时,都有可能不小心“中招”。
比如,一些恶意网站会通过脚本代码自动下载病毒到用户的计算机中;一些来历不明的邮件附件可能隐藏着病毒,一旦打开就会引发灾难。
此外,移动存储设备,如 U 盘、移动硬盘等,也是病毒传播的常见媒介。
如果在一台感染了病毒的计算机上使用了未经过消毒的移动存储设备,再将其插入另一台计算机,病毒就很容易被传播过去。
计算机病毒的危害不容小觑。
它可能会破坏计算机系统的文件和数据,导致重要信息丢失。
想象一下,你辛苦撰写的文档、精心拍摄的照片,或者多年积累的客户资料,突然之间化为乌有,那将是多么令人崩溃的事情。
病毒还可能会占用计算机的系统资源,使计算机运行速度变得异常缓慢,甚至死机。
这不仅会影响我们的工作效率,还可能会导致一些实时性要求较高的任务无法按时完成,造成严重的后果。
有些病毒甚至能够窃取用户的个人隐私信息,如账号密码、银行卡信息等,给用户带来巨大的经济损失。
为了应对计算机病毒的威胁,我们需要采取一系列的防范措施。
首先,要安装可靠的杀毒软件和防火墙,并及时更新病毒库。
计算机网络安全攻防技术综述与分析
计算机网络安全攻防技术综述与分析随着计算机网络的发展,网络安全威胁也随之增加。
为了保护网络的安全,许多攻防技术被广泛应用。
本文将对计算机网络安全攻防技术进行综述与分析,探讨其应用和效果。
一、攻击技术的分类与特征1.1 常见的攻击技术网络攻击技术主要包括:黑客入侵、拒绝服务攻击(DoS)、分布式拒绝服务攻击(DDoS)、网络钓鱼、恶意软件(如病毒、蠕虫、木马)、蜜罐攻击等。
这些攻击技术可以给网络系统带来不同程度的破坏,造成数据泄露、服务中断、财产损失等问题。
1.2 攻击技术的特征攻击技术的特征主要有以下几个方面:首先,攻击的方式多样化。
攻击者可以使用各种手段进行攻击,例如利用漏洞入侵系统、通过恶意软件传播破坏、进行拒绝服务攻击等。
其次,攻击手法不断变化。
随着网络安全技术的提升,攻击者也不断改进攻击手法,采用更加隐蔽的方式进行攻击,让网络防御变得更加困难。
最后,攻击规模逐渐扩大。
随着技术的发展,攻击者可以集中多个资源进行协同攻击,形成大规模的攻击行动,对网络系统造成更大的威胁。
二、网络安全防御技术的分类与应用2.1 防火墙技术防火墙是一种位于网络边界的安全设备,用于监控网络流量,根据设定的规则进行流量过滤,阻止非法访问和攻击。
防火墙技术可以通过访问控制列表(ACL)实施访问控制,保护内部网络免受外部攻击。
2.2 入侵检测与防御系统(IDS/IPS)入侵检测系统(IDS)和入侵防御系统(IPS)用于监控网络流量,并检测和防止可能的入侵行为。
IDS通过分析网络流量中的异常行为和攻击特征来发现潜在的入侵行为,而IPS在发现入侵行为后可以主动阻止攻击。
2.3 加密技术加密技术用于对数据进行保护,确保数据在传输过程中不被窃取和篡改。
常用的加密技术包括对称加密和非对称加密。
对称加密使用相同的密钥进行加解密,而非对称加密使用公钥和私钥进行加解密。
2.4 安全认证与访问控制安全认证和访问控制是确保网络系统只被授权用户访问的重要技术。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
隐藏病毒扇区
列目录时显示感染 前的文件大小 读写文件看到正常 的文件内容 执行或者搜索时隐 藏病毒
在支持长文件名的 系统中隐藏病毒
8.1
计算机病毒的隐藏技术
8.1.3 宏病毒的隐藏技术
• 宏病毒的隐藏技术比较简单
– 在Word、Excel等软件中禁止菜单“文件→模 板”或者“工具→宏” – 通过宏病毒代码删除菜单项 – 宏病毒用自己的FileTemplates和ToolsMacro 宏替代系统缺省的宏 – 也可以采用5.3节中讨论的隐藏技术
返回数据
用户键入AV.EXE 执行反病毒程序读扇区
感染后的INT 21H功能4BH(加载并执行一个程序) 病毒感染后的 INT 13H服务程序
读请求 被病毒感染的扇区
返回数据
恢复被病毒感染的扇区为原来的内容 原来的 INT 13H服务程序
读请求 返回数据 原来OS命令解释程序
第8章
计算机病毒常用技术综述
主要内容
• 计算机病毒的隐藏技术
• 计算机病毒驻留内存技术 • 计算机病毒的变形技术 • 计算机病毒的反跟踪、反调试、反分析技 术
8.1
计算机病毒的隐藏技术
8.1.1 引导型病毒的隐藏技术
DOS命令解释程序() • 引导病毒的隐藏方法 读扇区调用 DOS应用程序 DOS下的杀毒软件
被感染扇区的原始内容 的备份所在扇区
修改INT 13H入口地址
修改INT 21H功能4BH
8.1
计算机病毒的隐藏技术
8.1.2 文件型病毒的隐藏技术
• 文件型病毒在打开 INT 13H 文件的时候将文件 BIOS (直接磁盘访问 ) 的内容恢复到未感 DOS INT 21H调用 染的状态,在关闭 列目录功能 (FindFirst、 FindNext) 文件的时候重新进 读写功能 (Read、 Write) 行感染 执行功能 • 由于访问文件的方 (EXEC) 式、方法非常多, 其他功能 (rename等 ) 所以实现完全的文 Windows操作系统下,支持长 件型病毒隐藏是一 文件名的扩展DOS调用 件非常困难的事情。
病毒的加密与多态(变形)技术
• 多态病毒的框架
8.2
;VIRUS_SIZE是加密代码的长度,offset EncrptStart是加密代码的起始地址,key是密钥 ;密钥以及这些解密代码都是随机生成的,不同的感染会不一样 INSTRLEN equ 10 ;定义宏,执行一条有效指令的同时制造垃圾代码 I3 macro code1_2, code3 local s,e s: code1_2, code3 ;例如:MOV EAX,EBX e: db INSTRLEN-(e-s) dup (90h) ;垃圾代码,类似于后文中将介绍的花指令 endm I2 macro code1_2 local s,e s: code1_2 ;例如:INC EDI e: db INSTRLEN-(e-s) dup (90h) ;垃圾代码,类似于后文中将介绍的花指令 endm I3 MOV ECX, VIRUS_SIZE I3 MOV EDI, offset EncrptStart DecrptLoop: I3 XOR byte ptr [EDI],key I2 INC EDI I2 LOOP DecrptLoop 加密后的病毒代码
病毒的加密与多态(变形)技术
MOV reg_1, count MOV reg_2, key MOV reg_3, offset
LOOP: xxx byte ptr [reg_3],reg_2 DEC reg_1 Jxx LOOP 加密后的病毒代码 Jxx是ja、jnc等不同条件跳转指令的通称,使用什 么跳转指令也是感染的时候随机选择的 xxx是XOR、ADD、SUB等不同运算指令的通称, 使用什么运算指令是感染的时候随机选择的
8.1
计算机病毒的隐藏技术
8.1.4 Windows病毒的隐藏技术
• 以系统服务程序方式进行隐藏 • 拦截枚举进程的API函数 • 动态嵌入式隐藏
8.2
8.2.1 加密解密技术与病毒的多 态性
– 多态病毒是改进了的加密病毒,由变化的解密 头和加密的代码组成。多态病毒运行时,先执 行的是解密代码,对加密代码解密,然后执行 刚解密的代码,也就是实现传播的主体代码
病毒的加密与多态(变形)技术
• 多态病毒加密与普通加密的差别
8.2
8.2.1 加密解密技术与病毒的多 态性 说 明 代 码
其中,reg_1、reg_2和reg_3是从AX、BX、CX、 DX、SI、DI、BP中随机挑选的寄存器,感染不同 的文件,解密代码使用随机的寄存器;count是加 密数据的长度,key是加密的密钥,offset是加密 代码的偏移量,感染的时候,这些数值都是随机 生成的,不同的感染都不一样
8.2
8.2.2 使用改变可执行代码技术 的多态病毒
病毒的加密与多态(变形)技术
• 由于在运行过程中改变机器语言的指令是非常困难的,所 以这种技术主要使用在宏病毒中。在运行过程中,病毒可 以随机的改变变量名,指令的顺序等,但是不影响病毒所 实现的功能 • 一些复杂的引导型病毒也采用了这种技术,在引导区或者 分区表中,包含了一小段代码来加载实际的病毒代码,这 段代码在运行的过程中是可以改变的 • 由于动态修改机器语言代码的复杂性,完成在文件型病毒 中使用动态代码修改技术有相当的难度,但是已发现存在 病毒使用了这种技术
8.2.1 加密解密技术与病毒的多 态性
病毒的加密与多态(变形)技术
8.2
8.2.1 加密解密技术与病毒的多 态性
– 每条解密指令都不是固定的,上面的固定代码 实际上只是一种可能,病毒每次复制自身的时 候,这些代码都会随机改变 – 密钥在复制自身时,也要重新生成 – 宏I3、I2使得每条指令占用10个字节的空间 (之所以选择10个字节,是因为几乎所有指令, 特别是病毒常用的,都小于10个字节,保证了 有剩余空间,又不会造成太大浪费,是一种折 衷),在10个字节的剩余空间中插入随机生成的 垃圾代码,这些垃圾代码也是随机选择的
列目录时显示感染 前的文件大小 读写文件看到正常 的文件内容 执行或者搜索时隐 藏病毒
在支持长文件名的 系统中隐藏病毒
8.1
计算机病毒的隐藏技术
8.1.3 宏病毒的隐藏技术
• 宏病毒的隐藏技术比较简单
– 在Word、Excel等软件中禁止菜单“文件→模 板”或者“工具→宏” – 通过宏病毒代码删除菜单项 – 宏病毒用自己的FileTemplates和ToolsMacro 宏替代系统缺省的宏 – 也可以采用5.3节中讨论的隐藏技术
返回数据
用户键入AV.EXE 执行反病毒程序读扇区
感染后的INT 21H功能4BH(加载并执行一个程序) 病毒感染后的 INT 13H服务程序
读请求 被病毒感染的扇区
返回数据
恢复被病毒感染的扇区为原来的内容 原来的 INT 13H服务程序
读请求 返回数据 原来OS命令解释程序
第8章
计算机病毒常用技术综述
主要内容
• 计算机病毒的隐藏技术
• 计算机病毒驻留内存技术 • 计算机病毒的变形技术 • 计算机病毒的反跟踪、反调试、反分析技 术
8.1
计算机病毒的隐藏技术
8.1.1 引导型病毒的隐藏技术
DOS命令解释程序() • 引导病毒的隐藏方法 读扇区调用 DOS应用程序 DOS下的杀毒软件
被感染扇区的原始内容 的备份所在扇区
修改INT 13H入口地址
修改INT 21H功能4BH
8.1
计算机病毒的隐藏技术
8.1.2 文件型病毒的隐藏技术
• 文件型病毒在打开 INT 13H 文件的时候将文件 BIOS (直接磁盘访问 ) 的内容恢复到未感 DOS INT 21H调用 染的状态,在关闭 列目录功能 (FindFirst、 FindNext) 文件的时候重新进 读写功能 (Read、 Write) 行感染 执行功能 • 由于访问文件的方 (EXEC) 式、方法非常多, 其他功能 (rename等 ) 所以实现完全的文 Windows操作系统下,支持长 件型病毒隐藏是一 文件名的扩展DOS调用 件非常困难的事情。
病毒的加密与多态(变形)技术
• 多态病毒的框架
8.2
;VIRUS_SIZE是加密代码的长度,offset EncrptStart是加密代码的起始地址,key是密钥 ;密钥以及这些解密代码都是随机生成的,不同的感染会不一样 INSTRLEN equ 10 ;定义宏,执行一条有效指令的同时制造垃圾代码 I3 macro code1_2, code3 local s,e s: code1_2, code3 ;例如:MOV EAX,EBX e: db INSTRLEN-(e-s) dup (90h) ;垃圾代码,类似于后文中将介绍的花指令 endm I2 macro code1_2 local s,e s: code1_2 ;例如:INC EDI e: db INSTRLEN-(e-s) dup (90h) ;垃圾代码,类似于后文中将介绍的花指令 endm I3 MOV ECX, VIRUS_SIZE I3 MOV EDI, offset EncrptStart DecrptLoop: I3 XOR byte ptr [EDI],key I2 INC EDI I2 LOOP DecrptLoop 加密后的病毒代码
病毒的加密与多态(变形)技术
MOV reg_1, count MOV reg_2, key MOV reg_3, offset
LOOP: xxx byte ptr [reg_3],reg_2 DEC reg_1 Jxx LOOP 加密后的病毒代码 Jxx是ja、jnc等不同条件跳转指令的通称,使用什 么跳转指令也是感染的时候随机选择的 xxx是XOR、ADD、SUB等不同运算指令的通称, 使用什么运算指令是感染的时候随机选择的
8.1
计算机病毒的隐藏技术
8.1.4 Windows病毒的隐藏技术
• 以系统服务程序方式进行隐藏 • 拦截枚举进程的API函数 • 动态嵌入式隐藏
8.2
8.2.1 加密解密技术与病毒的多 态性
– 多态病毒是改进了的加密病毒,由变化的解密 头和加密的代码组成。多态病毒运行时,先执 行的是解密代码,对加密代码解密,然后执行 刚解密的代码,也就是实现传播的主体代码
病毒的加密与多态(变形)技术
• 多态病毒加密与普通加密的差别
8.2
8.2.1 加密解密技术与病毒的多 态性 说 明 代 码
其中,reg_1、reg_2和reg_3是从AX、BX、CX、 DX、SI、DI、BP中随机挑选的寄存器,感染不同 的文件,解密代码使用随机的寄存器;count是加 密数据的长度,key是加密的密钥,offset是加密 代码的偏移量,感染的时候,这些数值都是随机 生成的,不同的感染都不一样
8.2
8.2.2 使用改变可执行代码技术 的多态病毒
病毒的加密与多态(变形)技术
• 由于在运行过程中改变机器语言的指令是非常困难的,所 以这种技术主要使用在宏病毒中。在运行过程中,病毒可 以随机的改变变量名,指令的顺序等,但是不影响病毒所 实现的功能 • 一些复杂的引导型病毒也采用了这种技术,在引导区或者 分区表中,包含了一小段代码来加载实际的病毒代码,这 段代码在运行的过程中是可以改变的 • 由于动态修改机器语言代码的复杂性,完成在文件型病毒 中使用动态代码修改技术有相当的难度,但是已发现存在 病毒使用了这种技术
8.2.1 加密解密技术与病毒的多 态性
病毒的加密与多态(变形)技术
8.2
8.2.1 加密解密技术与病毒的多 态性
– 每条解密指令都不是固定的,上面的固定代码 实际上只是一种可能,病毒每次复制自身的时 候,这些代码都会随机改变 – 密钥在复制自身时,也要重新生成 – 宏I3、I2使得每条指令占用10个字节的空间 (之所以选择10个字节,是因为几乎所有指令, 特别是病毒常用的,都小于10个字节,保证了 有剩余空间,又不会造成太大浪费,是一种折 衷),在10个字节的剩余空间中插入随机生成的 垃圾代码,这些垃圾代码也是随机选择的