計(jì)算機(jī)病毒分析與防治教程_第1頁(yè)
計(jì)算機(jī)病毒分析與防治教程_第2頁(yè)
計(jì)算機(jī)病毒分析與防治教程_第3頁(yè)
計(jì)算機(jī)病毒分析與防治教程_第4頁(yè)
計(jì)算機(jī)病毒分析與防治教程_第5頁(yè)
已閱讀5頁(yè),還剩19頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第1頁(yè)第第7章章 病毒常用技術(shù)分析病毒常用技術(shù)分析 計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社教學(xué)目標(biāo)教學(xué)重點(diǎn)教學(xué)過(guò)程計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第2頁(yè)教學(xué)目標(biāo)教學(xué)目標(biāo)l加密、變形、多態(tài)加密、變形、多態(tài)l進(jìn)入系統(tǒng)核心層進(jìn)入系統(tǒng)核心層l欺騙欺騙l駐留系統(tǒng)截獲系統(tǒng)操作駐留系統(tǒng)截獲系統(tǒng)操作l反跟蹤反跟蹤計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日

2、第3頁(yè)教學(xué)重點(diǎn)教學(xué)重點(diǎn)l生產(chǎn)作業(yè)計(jì)劃的概念和特點(diǎn)生產(chǎn)作業(yè)計(jì)劃的概念和特點(diǎn)l生產(chǎn)作業(yè)流程的特點(diǎn)生產(chǎn)作業(yè)流程的特點(diǎn)l生產(chǎn)作業(yè)控制的內(nèi)容和特點(diǎn)生產(chǎn)作業(yè)控制的內(nèi)容和特點(diǎn)計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第4頁(yè)教學(xué)過(guò)程教學(xué)過(guò)程l病毒的加密技術(shù)病毒的加密技術(shù) l病毒的變種、多態(tài)與變形病毒的變種、多態(tài)與變形 l病毒的一些常用保護(hù)方法病毒的一些常用保護(hù)方法 l病毒對(duì)系統(tǒng)的破壞病毒對(duì)系統(tǒng)的破壞 計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第5頁(yè)7.1 病毒的加密技術(shù)病毒的加密技術(shù) 1. 腳本代碼

3、的加密腳本代碼的加密 2. PE文件的加密文件的加密 3. 花指令方法花指令方法 計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第6頁(yè)腳本代碼的加密腳本代碼的加密 l絕大部分腳本病毒運(yùn)行的時(shí)候需要用到對(duì)絕大部分腳本病毒運(yùn)行的時(shí)候需要用到對(duì)象象FileSystemObject。腳本代碼需要通過(guò)。腳本代碼需要通過(guò)Windows Script Host來(lái)解釋執(zhí)行。腳本來(lái)解釋執(zhí)行。腳本病毒的運(yùn)行需要其關(guān)聯(lián)程序病毒的運(yùn)行需要其關(guān)聯(lián)程序Wscript.exe的的支持。通過(guò)網(wǎng)頁(yè)傳播的病毒需要支持。通過(guò)網(wǎng)頁(yè)傳播的病毒需要ActiveX的的支持。支持。 計(jì)算機(jī)

4、病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第7頁(yè)自加密自加密 自加密使每次運(yùn)行后病毒文件代碼都有所變化。如新歡樂(lè)時(shí)光病毒,它可以隨機(jī)選取密鑰對(duì)自己的部分代碼進(jìn)行加密變換,使得每次感染的病毒代碼都不一樣,這給傳統(tǒng)的特征值查毒法帶來(lái)了一些困難。 計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第8頁(yè)巧妙運(yùn)用巧妙運(yùn)用ExecuteExecute函數(shù)函數(shù) 例如,下面的例如,下面的VbsVbs程序:程序:str=set fso=createObject( & chr(34) & str=set fso=c

5、reateObject( & chr(34) & s c r i p & c h r ( 1 1 6 ) & s c r i p & c h r ( 1 1 6 ) & ing.FileSystemObject&chr(34)&chr(41)ing.FileSystemObject&chr(34)&chr(41)msgbox strmsgbox str Execute strExecute str 執(zhí)行執(zhí)行strstr計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第9頁(yè)改變某些對(duì)象的聲明方法改變某些對(duì)象的聲明方法 例如,對(duì)代碼:fso=cre

6、ateobject(scripting.filesystemobject)我們將其改變?yōu)椋篺 s o = c r e a t e o b j e c t ( s c r i p t ing.filesystemobject)這樣反病毒軟件對(duì)其進(jìn)行靜態(tài)掃描時(shí)就不會(huì)發(fā)現(xiàn)filesystemobject對(duì)象。 計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第10頁(yè)P(yáng)EPE文件的加密文件的加密 l認(rèn)定關(guān)鍵代碼認(rèn)定關(guān)鍵代碼 。 l選擇加密算法選擇加密算法 。l在程序初始化的某個(gè)位置增加解密代碼在程序初始化的某個(gè)位置增加解密代碼 。l找到關(guān)鍵代碼在內(nèi)存中

7、位置找到關(guān)鍵代碼在內(nèi)存中位置 。l替換加密代碼中的初始值替換加密代碼中的初始值 。l加密關(guān)鍵代碼加密關(guān)鍵代碼 。l修改程序代碼節(jié)屬性修改程序代碼節(jié)屬性 。計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第11頁(yè)花指令方法花指令方法 在程序中摻雜一些采用在程序中摻雜一些采用“跳轉(zhuǎn)指令加數(shù)據(jù)跳轉(zhuǎn)指令加數(shù)據(jù)”的代碼,的代碼,可以局部破壞軟件反匯編,這就是所謂可以局部破壞軟件反匯編,這就是所謂“花指花指令令”。代碼格式可以表示為:。代碼格式可以表示為:jzjz f f ;若標(biāo)志位;若標(biāo)志位ZF=1,ZF=1,跳轉(zhuǎn)到下一個(gè)標(biāo)號(hào)跳轉(zhuǎn)到下一個(gè)標(biāo)號(hào) jnzjn

8、z f f ;若標(biāo)志位;若標(biāo)志位ZF=0,ZF=0,跳轉(zhuǎn)到下一個(gè)標(biāo)跳轉(zhuǎn)到下一個(gè)標(biāo)號(hào),所以總是跳轉(zhuǎn)到一個(gè)位置號(hào),所以總是跳轉(zhuǎn)到一個(gè)位置 db 0 db 0 ;定義一個(gè)變量,干擾后面的反;定義一個(gè)變量,干擾后面的反匯編,也可為別的值,值不同效果不同匯編,也可為別的值,值不同效果不同 : : ;標(biāo)號(hào);標(biāo)號(hào)計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第12頁(yè)花指令使用前花指令使用前 計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第13頁(yè)使用花指令后使用花指令后 計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分

9、析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第14頁(yè)7.2 7.2 病毒的變種、多態(tài)與變形病毒的變種、多態(tài)與變形 l變種病毒指在已有的病毒上對(duì)病毒的代碼變種病毒指在已有的病毒上對(duì)病毒的代碼進(jìn)行修改后又成為一個(gè)新的病毒,可以看進(jìn)行修改后又成為一個(gè)新的病毒,可以看作是在原病毒基礎(chǔ)上的升級(jí)。作是在原病毒基礎(chǔ)上的升級(jí)。 l病毒多態(tài)就是使病毒能夠改變自身的存儲(chǔ)病毒多態(tài)就是使病毒能夠改變自身的存儲(chǔ)形式的技術(shù),使傳統(tǒng)依靠特征值檢測(cè)的技形式的技術(shù),使傳統(tǒng)依靠特征值檢測(cè)的技術(shù)失效。變形則在多態(tài)的基礎(chǔ)上更進(jìn)一步。術(shù)失效。變形則在多態(tài)的基礎(chǔ)上更進(jìn)一步。 計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治

10、教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第15頁(yè)多態(tài)與變形病毒的來(lái)歷與分類(lèi)多態(tài)與變形病毒的來(lái)歷與分類(lèi) l一個(gè)成熟的多態(tài)病毒由密匙,解密代碼和主程序體構(gòu)成。一個(gè)成熟的多態(tài)病毒由密匙,解密代碼和主程序體構(gòu)成。每次生成的解密代碼和密鑰都不同,使得每條解密指令都每次生成的解密代碼和密鑰都不同,使得每條解密指令都不是固定的,病毒每次復(fù)制自身的時(shí)候,這些代碼都會(huì)隨不是固定的,病毒每次復(fù)制自身的時(shí)候,這些代碼都會(huì)隨機(jī)改變;密鑰每次都隨機(jī)生成。讓解密代碼幾乎沒(méi)有規(guī)律機(jī)改變;密鑰每次都隨機(jī)生成。讓解密代碼幾乎沒(méi)有規(guī)律可循,這就是多態(tài)病毒思想??裳@就是多態(tài)病毒思想。 l變形引擎在多態(tài)引擎的基礎(chǔ)上

11、,使用了中間語(yǔ)言(由原始變形引擎在多態(tài)引擎的基礎(chǔ)上,使用了中間語(yǔ)言(由原始代碼反匯編而成,由病毒本體操作),并在實(shí)際執(zhí)行時(shí)進(jìn)代碼反匯編而成,由病毒本體操作),并在實(shí)際執(zhí)行時(shí)進(jìn)行匯編編譯變換,并附帶有模擬器,這樣進(jìn)一步使病毒的行匯編編譯變換,并附帶有模擬器,這樣進(jìn)一步使病毒的代碼發(fā)生變形,使得病毒完全喪失相同點(diǎn)。代碼發(fā)生變形,使得病毒完全喪失相同點(diǎn)。 計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第16頁(yè)多態(tài)原理淺析多態(tài)原理淺析 l對(duì)加密病毒改進(jìn)后,病毒由變化的解密頭對(duì)加密病毒改進(jìn)后,病毒由變化的解密頭和加密的代碼組成。多態(tài)病毒運(yùn)行時(shí),先和加密

12、的代碼組成。多態(tài)病毒運(yùn)行時(shí),先執(zhí)行的是解密代碼,對(duì)加密代碼解密,然執(zhí)行的是解密代碼,對(duì)加密代碼解密,然后執(zhí)行剛解密的代碼,也就是實(shí)現(xiàn)傳播的后執(zhí)行剛解密的代碼,也就是實(shí)現(xiàn)傳播的主體代碼。主體代碼。 計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第17頁(yè)使用宏后的效果使用宏后的效果 計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第18頁(yè)變形引擎淺析變形引擎淺析 變形引擎即能不斷產(chǎn)生變形,使病毒呈現(xiàn)出變形引擎即能不斷產(chǎn)生變形,使病毒呈現(xiàn)出多態(tài)的程序。近年來(lái)出現(xiàn)了一些所謂的多態(tài)的程序。近年來(lái)出現(xiàn)了一

13、些所謂的“病毒生產(chǎn)機(jī)病毒生產(chǎn)機(jī)”軟件,使新病毒的制造非軟件,使新病毒的制造非常容易,能夠自動(dòng)地產(chǎn)生病毒的變形代碼。常容易,能夠自動(dòng)地產(chǎn)生病毒的變形代碼。 變形引擎原理的變形代碼一般由兩部分組成,變形引擎原理的變形代碼一般由兩部分組成,分別是一段經(jīng)過(guò)分別是一段經(jīng)過(guò)3232位密鑰異或加密的代碼位密鑰異或加密的代碼和由引擎隨機(jī)生成的一段對(duì)這段加密代碼和由引擎隨機(jī)生成的一段對(duì)這段加密代碼進(jìn)行解碼的模塊。進(jìn)行解碼的模塊。 計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第19頁(yè)計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社

14、2022年1月16日第20頁(yè)7.3 7.3 病毒的一些常用保護(hù)方法病毒的一些常用保護(hù)方法 l自我刪除自我刪除l自我復(fù)制自我復(fù)制l駐留內(nèi)存駐留內(nèi)存l以服務(wù)程序方式以服務(wù)程序方式 計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第21頁(yè)自我刪除自我刪除 l 自我刪除的目的是在安裝結(jié)束后或某些過(guò)自我刪除的目的是在安裝結(jié)束后或某些過(guò)程結(jié)束后刪除程序本身,方法有好幾種。程結(jié)束后刪除程序本身,方法有好幾種。適用于任何一種適用于任何一種Windows的程序自我刪除的程序自我刪除方法是使用擴(kuò)展名為方法是使用擴(kuò)展名為bat批處理文件。批處理文件。 計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第22頁(yè)自我復(fù)制自我復(fù)制 lPEPE文件方式文件方式l腳本語(yǔ)言方式腳本語(yǔ)言方式 計(jì)算機(jī)病毒分析與防治教程計(jì)算機(jī)病毒分析與防治教程 清華大學(xué)出版社清華大學(xué)出版社2022年1月16日第23頁(yè)搜索資源(搜索資源(EmailEmail地址和共享目地址和共享目錄)錄

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論