第4章_新型计算机病毒的发展趋势及特点和技术（精品课件）（可编辑）.docVIP

第4章_新型计算机病毒的发展趋势及特点和技术（精品课件） INT13H(直接磁盘访问) DOS INT21H调用 列目录时显示感染前的文件大小 列目录功能 读写功能Read、Write 读写文件看到正常的文件内容 执行功能(EXEC) 执行或者有哪些信誉好的足球投注网站时隐藏病毒 其他功能(rename等) 视窗操作系统下,支持长文件名 在支持长文件名的系统隐藏自身 的扩展DOS调用4.3.4 自加密技术 计算机病毒可以对静态计算机病毒加密,同时也可以对进驻 内存的动态计算机病毒进行加密 ?Mutation Engine 多态技术 采用特殊的加密技术,每感染一个对象,放入宿主程序的代 码都不相同,几乎没有任何特征代码串,从而能有效对抗采用 特征串有哪些信誉好的足球投注网站法类杀毒软件的查杀插入性病毒技术 插入性病毒在不了解宿主程序的功能和结构的前提下,能将 宿主程序在适当处截断,在宿主程序的中部插入病毒程序,并 做到使病毒能获得运行权,达到与宿主程序融为一体4.3.4 2.动态隐藏技术 动态隐藏技术:指计算机病毒代码在驻留、运行和发作期间所 拥有的隐蔽性 计算机病毒利用操作系统的功能和漏洞,后台执行监视和感 染的功能,防止被一般的内存或进程管理程序发现反Debug 跟踪技术 Debug 主要利用系统中断INT 1和INT 3进行动态跟踪。计算 机病毒抑制跟踪的方法主要是修改INT 1和INT 3中断服务程序 入口地址的内容来破坏跟踪 此外,常见的其他反跟踪技术有:封锁键盘输入、封锁屏幕 输出等4.3.4 检测系统调试寄存器,防止计算机病毒被动态跟踪调试 现在的操作系统中出现了很多功能强大的调试工具。计算机 病毒可采取一定的方法来进行检测:计算机病毒通过调用API 函数IsDebuggerPresent 来检测是否 有用户级调试器存在检测调试寄存器设置SHE 进行反跟踪。SEH 即结构化异常处理,是操作系统 提供给程序设计者的强有力的处理程序错误或异常的武器 计算机病毒通过软件对调试器进行检测操作,很容易进行拦截4.3.4 进程注入技术 进程注入技术将病毒作为一个线程,注入系统应用程序如 Explore.exe 的地址空间,对于系统此应用程序是绝对安全的程 序,这样病毒在驻留内存的同时就达到了隐藏的效果超级计算机病毒技术 计算机病毒采用VxD 技术,如CIH 病毒 VxD??虚拟设备驱动,是Microsoft 公司专门为Windows 系 统制定的设备驱动程序接口规范。类似于DOS 系统中的设备驱 动程序,专门用于管理系统所加载的各种设备,不仅适用于硬 件设备,也适用于按照VxD 规范所编制的各种软件设备