新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)

第4章新型計(jì)算機(jī)病毒發(fā)展

趨勢(shì)及特點(diǎn)和技術(shù)4.1新型計(jì)算機(jī)病毒發(fā)展趨勢(shì)4.2新型計(jì)算機(jī)病毒發(fā)展主要特點(diǎn)4.3新型計(jì)算機(jī)病毒主要技術(shù)新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第1頁(yè)4.1新型計(jì)算機(jī)病毒發(fā)展趨勢(shì)網(wǎng)絡(luò)化

利用基于Internet編程語言與編程技術(shù)實(shí)現(xiàn)，易于修改以產(chǎn)生新變種，從而逃避反計(jì)算機(jī)病毒軟件搜索。如利用Java、ActiveX和VBScript等技術(shù)，使病毒潛伏在HTML頁(yè)面中。

比如：“愛蟲”病毒、“Kakworm”病毒人性化

充分利用了心理學(xué)知識(shí)，針對(duì)人類心理制造計(jì)算機(jī)病毒，其主題、文件名更具人性化和極具誘惑性。

比如：“My-babypic”病毒多樣化

新計(jì)算機(jī)病毒能夠是可執(zhí)行文件、腳本語言和HTML網(wǎng)頁(yè)等各種形式，并向電子郵件、網(wǎng)上賀卡、卡通圖片、ICQ和OICQ等發(fā)展。新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第2頁(yè)4.1新型計(jì)算機(jī)病毒發(fā)展趨勢(shì)隱蔽化

新一代計(jì)算機(jī)病毒更善于隱蔽自己、偽裝自己，其主題會(huì)在傳輸中改變，或含有誘惑性主題、附件名。

如：主頁(yè)計(jì)算機(jī)病毒、“維羅納”病毒、“Matrix”病毒平民化

因?yàn)槟_本語言廣泛使用，專用計(jì)算機(jī)病毒生成工具流行，計(jì)算機(jī)病毒制造不再是計(jì)算機(jī)教授表現(xiàn)自己高超技術(shù)。智能化

可對(duì)外設(shè)、硬件設(shè)施物理性破壞，也可對(duì)人體實(shí)施攻擊。新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第3頁(yè)4.2新型計(jì)算機(jī)病毒發(fā)展主要特點(diǎn)4.2.1新型計(jì)算機(jī)病毒主要特點(diǎn)4.2.2基于Windows計(jì)算機(jī)病毒4.2.3新型計(jì)算機(jī)病毒傳輸路徑4.2.4新型計(jì)算機(jī)病毒危害4.2.5電子郵件成為病毒傳輸主要媒介4.2.6新型計(jì)算機(jī)病毒最主要載體新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第4頁(yè)4.2.1新型計(jì)算機(jī)病毒主要特點(diǎn)利用系統(tǒng)漏洞將成為計(jì)算機(jī)病毒有力傳輸方式局域網(wǎng)內(nèi)快速傳輸以各種方式快速傳輸坑騙性增強(qiáng)大量消耗系統(tǒng)與網(wǎng)絡(luò)資源更廣泛混合性特征計(jì)算機(jī)病毒與黑客技術(shù)融合計(jì)算機(jī)病毒出現(xiàn)頻度高，計(jì)算機(jī)病毒生成工具多，計(jì)算機(jī)病毒變種多難于控制和徹底根治，輕易引發(fā)屢次疫情

新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第5頁(yè)4.2.2基于Windows計(jì)算機(jī)病毒1．什么是Windows計(jì)算機(jī)病毒？Windows計(jì)算機(jī)病毒：

指能感染W(wǎng)indows可執(zhí)行程序并可在Windows系統(tǒng)下運(yùn)行計(jì)算機(jī)病毒。Windows計(jì)算機(jī)病毒分類：感染NE格式(Windows3.X)可執(zhí)行程序計(jì)算機(jī)病毒感染PE格式(Windows95以上)可執(zhí)行程序計(jì)算機(jī)病毒新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第6頁(yè)4.2.2基于Windows計(jì)算機(jī)病毒2．為何Windows計(jì)算機(jī)病毒這么多？

首先，伴隨人們對(duì)Windows操作系統(tǒng)認(rèn)識(shí)深入，系統(tǒng)功效強(qiáng)大而使系統(tǒng)龐大，不可防止地出現(xiàn)錯(cuò)誤和漏洞；另首先，Windows系統(tǒng)源碼保密。危害系統(tǒng)主機(jī)非授權(quán)主機(jī)進(jìn)程表現(xiàn)形式：病毒程序蠕蟲木馬后門漏洞新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第7頁(yè)4.2.2基于Windows計(jì)算機(jī)病毒危害系統(tǒng)主機(jī)非授權(quán)主機(jī)進(jìn)程表現(xiàn)形式：病毒程序病毒程序普通比較小巧，表現(xiàn)為強(qiáng)傳染性，會(huì)傳染它所能訪問文件系統(tǒng)中文件。蠕蟲蠕蟲是利用網(wǎng)絡(luò)進(jìn)行傳輸程序。利用主機(jī)提供服務(wù)缺點(diǎn)攻擊目標(biāo)機(jī)。目標(biāo)機(jī)感染后，普通會(huì)隨機(jī)選擇一段IP地址進(jìn)行掃描，尋找下一個(gè)有缺點(diǎn)目標(biāo)進(jìn)行攻擊。如：“Lion”——針對(duì)DNS解析服務(wù)程序BIND； “沖擊波”、“震蕩波”——針對(duì)Windows系統(tǒng)。新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第8頁(yè)4.2.2基于Windows計(jì)算機(jī)病毒危害系統(tǒng)主機(jī)非授權(quán)主機(jī)進(jìn)程表現(xiàn)形式：木馬

木馬是網(wǎng)絡(luò)攻擊成功后有意放置程序，用于與外界攻擊程序接口，以非法訪問被攻擊主機(jī)為目標(biāo)。絕大多數(shù)針對(duì)Windows系統(tǒng)。后門

后門是寫系統(tǒng)或網(wǎng)絡(luò)服務(wù)程序企業(yè)或個(gè)人放置在系統(tǒng)上，以進(jìn)行非法訪問為目標(biāo)代碼。只存在于不開放源碼操作系統(tǒng)中。漏洞

漏洞是指因?yàn)槌绦蚓帉戇^程中失誤，造成系統(tǒng)被非法訪問新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第9頁(yè)4.2.2基于Windows計(jì)算機(jī)病毒3．Windows系統(tǒng)與計(jì)算機(jī)病毒斗爭(zhēng)Windows系統(tǒng)只有經(jīng)過不停升級(jí)、完善，才能夠降低受計(jì)算機(jī)病毒騷擾機(jī)會(huì)。新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第10頁(yè)4.2.3新型計(jì)算機(jī)病毒傳輸路徑1．傳輸路徑軟盤光盤硬盤BBS網(wǎng)絡(luò)新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第11頁(yè)4.2.3新型計(jì)算機(jī)病毒傳輸路徑2．計(jì)算機(jī)病毒傳輸展現(xiàn)多樣性(1)隱藏在即時(shí)通信軟件中計(jì)算機(jī)病毒即時(shí)通信IM軟件：ICQ、QQ、MSNMessenger比如：“求職信”病毒：第一個(gè)經(jīng)過ICQ進(jìn)行傳輸惡性蠕蟲“愛情森林”系列病毒、“QQ尾巴”病毒：經(jīng)過騰訊QQ進(jìn)行傳輸“MSN射手”病毒、“W32.HLLW.Henpeck”病毒：經(jīng)過騰訊MSNMessenger進(jìn)行傳輸經(jīng)過即時(shí)通信軟件傳輸病毒原因：用戶數(shù)量龐大，有利于病毒快速傳輸；軟件內(nèi)建有聯(lián)絡(luò)人清單，可方便地獲取傳輸目標(biāo)。新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第12頁(yè)4.2.3新型計(jì)算機(jī)病毒傳輸路徑2．計(jì)算機(jī)病毒傳輸展現(xiàn)多樣性隱藏在即時(shí)通信軟件中計(jì)算機(jī)病毒在IRC中計(jì)算機(jī)病毒點(diǎn)對(duì)點(diǎn)計(jì)算機(jī)病毒新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第13頁(yè)4.2.4新型計(jì)算機(jī)病毒危害1．計(jì)算機(jī)病毒肆虐：以“震蕩波”病毒為例2．計(jì)算機(jī)病毒與IT共存

據(jù)海外相關(guān)數(shù)據(jù)顯示：全球每個(gè)月產(chǎn)生新計(jì)算機(jī)病毒300種，一年就達(dá)4000~5000種。全球每年造成巨大經(jīng)濟(jì)損失。

經(jīng)典案例：“尼姆達(dá)”、“漂亮莎”、“CIH”、“Sircam”病毒

網(wǎng)絡(luò)攻擊伎倆：密碼攻擊、分組竊聽和IP地址坑騙，以及拒絕服務(wù)（Ddos）、未授權(quán)訪問和特洛伊木馬（Trojan）教授針對(duì)計(jì)算機(jī)病毒推薦防范辦法：1．及時(shí)關(guān)注微軟企業(yè)官方網(wǎng)站公布系統(tǒng)漏洞，下載正式補(bǔ)丁；2．購(gòu)置專業(yè)殺毒軟件廠商軟件及其后臺(tái)服務(wù)，及時(shí)升級(jí)；3．定時(shí)備份計(jì)算機(jī)上主要文件。新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第14頁(yè)4.2.5電子郵件成為計(jì)算機(jī)病毒傳輸主要媒介“BubbleBoy”病毒：無需用戶打開附件就能感染用戶計(jì)算機(jī)系統(tǒng)。經(jīng)過E-mail進(jìn)行傳輸計(jì)算機(jī)病毒主要特點(diǎn)：（1）傳輸速度快、傳輸范圍廣；（2）破壞力大、破壞性強(qiáng)。經(jīng)典案例：年5月4日“愛蟲”計(jì)算機(jī)病毒暴發(fā)

新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第15頁(yè)4.2.6新型計(jì)算機(jī)病毒最主要載體當(dāng)前，計(jì)算機(jī)網(wǎng)絡(luò)成為計(jì)算機(jī)病毒傳輸最主要載體。1．網(wǎng)絡(luò)蠕蟲成為最主要和破壞力量最大計(jì)算機(jī)病毒類型“蠕蟲”病毒主要利用系統(tǒng)漏洞進(jìn)行傳輸，在控制系統(tǒng)同時(shí)，為系統(tǒng)打開后門，成為一個(gè)黑客攻擊工具。“蠕蟲”病毒編寫簡(jiǎn)單，往往直接利用VBS來編寫。如“歡樂時(shí)光”病毒。2．惡意網(wǎng)頁(yè)、木馬和計(jì)算機(jī)病毒新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第16頁(yè)4.2.6新型計(jì)算機(jī)病毒最主要載體蠕蟲（Worm）：即使蠕蟲能夠在計(jì)算機(jī)系統(tǒng)中繁殖，有蠕蟲甚至還能夠在內(nèi)存、磁盤、網(wǎng)絡(luò)中移動(dòng)、爬行，但它們不依附于其它程序，即不需要宿主對(duì)象。嚴(yán)格地說，蠕蟲與計(jì)算機(jī)病毒一個(gè)最大區(qū)分在于：蠕蟲程序本身并不具備傳染性。在其它方面，蠕蟲與計(jì)算機(jī)病毒又極為類似，它是計(jì)算機(jī)病毒“近親”，而被視為是另一個(gè)類型計(jì)算機(jī)病毒新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第17頁(yè)4.2.6新型計(jì)算機(jī)病毒最主要載體當(dāng)前，計(jì)算機(jī)網(wǎng)絡(luò)成為計(jì)算機(jī)病毒傳輸最主要載體。1．網(wǎng)絡(luò)蠕蟲成為最主要和破壞力量最大計(jì)算機(jī)病毒類型2．惡意網(wǎng)頁(yè)、木馬和計(jì)算機(jī)病毒惡意網(wǎng)頁(yè)特點(diǎn)：在用戶不知道情況下，修改用戶瀏覽器選項(xiàng)；修改用戶注冊(cè)表選項(xiàng)，鎖定注冊(cè)表，修改系統(tǒng)開啟選項(xiàng)，以及在用戶桌面生成網(wǎng)頁(yè)快捷訪問方式。格式化用戶硬盤（極少出現(xiàn)）。注意：在當(dāng)前計(jì)算機(jī)病毒定義下，不能稱惡意網(wǎng)頁(yè)為計(jì)算機(jī)病毒，因?yàn)樗荒茏晕覐?fù)制；也不能稱為木馬，因?yàn)樗鼪]有遠(yuǎn)程控制。木馬最主要特點(diǎn)：遠(yuǎn)程控制新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第18頁(yè)4.2.6新型計(jì)算機(jī)病毒最主要載體特洛伊木馬（TrojanHorse）：——借古羅馬戰(zhàn)爭(zhēng)中“木馬”戰(zhàn)術(shù)而得名原理：木馬實(shí)際上是一個(gè)在遠(yuǎn)程計(jì)算機(jī)之間建立起連接，使遠(yuǎn)程計(jì)算機(jī)能經(jīng)過網(wǎng)絡(luò)控制當(dāng)?shù)赜?jì)算機(jī)上程序。傳輸：木馬以正當(dāng)而正常程序（如計(jì)算機(jī)游戲、壓縮工具乃至防治計(jì)算機(jī)病毒軟件等）面目出現(xiàn)，來到達(dá)坑騙并在用戶計(jì)算機(jī)上運(yùn)行、產(chǎn)生用戶所料不及破壞后果之目標(biāo)。組成：普通情況下，木馬程序由服務(wù)器端程序和客戶端程序組成。其中服務(wù)器端程序安裝在被控制對(duì)象計(jì)算機(jī)上，客戶端程序是控制者所使用。新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第19頁(yè)4.2.6新型計(jì)算機(jī)病毒最主要載體特洛伊木馬（TrojanHorse）：危害：經(jīng)過遠(yuǎn)程控制對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行危險(xiǎn)文件管理，包含可從受害者計(jì)算機(jī)查看、刪除、移動(dòng)、上傳、下載、執(zhí)行任何文件；進(jìn)行警告信息發(fā)送、鍵盤統(tǒng)計(jì)、統(tǒng)計(jì)機(jī)內(nèi)保密信息、關(guān)閉窗口、鼠標(biāo)控制、計(jì)算機(jī)基本設(shè)置等非法操作木馬和遠(yuǎn)程控制軟件區(qū)分：木馬含有隱蔽性。比如國(guó)內(nèi)血蜘蛛、國(guó)外PCAnyWhere等遠(yuǎn)程控制軟件，其服務(wù)器端在目標(biāo)計(jì)算機(jī)上運(yùn)行時(shí)，目標(biāo)計(jì)算機(jī)上會(huì)出現(xiàn)很醒目標(biāo)標(biāo)志；而木馬類軟件服務(wù)器在運(yùn)行時(shí)則應(yīng)用各種伎倆來隱藏自己。類型：遠(yuǎn)程訪問木馬 密碼發(fā)送型木馬 FTP型木馬鍵盤統(tǒng)計(jì)型木馬 毀壞型木馬 新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第20頁(yè)4.3新型計(jì)算機(jī)病毒發(fā)展主要技術(shù)4.3.1ActiveX與Java4.3.2計(jì)算機(jī)病毒駐留內(nèi)存技術(shù)4.3.3修改中止向量表技術(shù)4.3.4計(jì)算機(jī)病毒隱藏技術(shù)4.3.5反抗計(jì)算機(jī)病毒防范系統(tǒng)技術(shù)4.3.6技術(shù)遺傳與結(jié)合新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第21頁(yè)4.3.1ActiveX與Java傳統(tǒng)計(jì)算機(jī)病毒與新型計(jì)算機(jī)病毒：1．宿主程序：傳統(tǒng)計(jì)算機(jī)病毒：一定有一個(gè)“宿主”程序，如.EXE文件、.COM文件以及.DOC文件宏病毒：感染W(wǎng)ord，如：“TaiwanNo.1”病毒新型計(jì)算機(jī)病毒：完全不需要宿主程序2．寄生方式傳統(tǒng)計(jì)算機(jī)病毒：寄生在可執(zhí)行程序代碼中，伺機(jī)對(duì)系統(tǒng)進(jìn)行破壞新型計(jì)算機(jī)病毒：利用網(wǎng)頁(yè)編寫所用Java或ActiveX語言編寫可執(zhí)行程序，當(dāng)瀏覽網(wǎng)頁(yè)時(shí)就會(huì)下載并在系統(tǒng)中執(zhí)行。新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第22頁(yè)4.3.1ActiveX與JavaJava或ActiveX語言：用來編寫含有動(dòng)感十足網(wǎng)頁(yè)Java或ActiveX語言執(zhí)行方式：

將程序代碼寫在網(wǎng)頁(yè)上，當(dāng)訪問網(wǎng)站時(shí)，用戶瀏覽器將這些程序代碼下載，然后用用戶系統(tǒng)資源去執(zhí)行。比如：ActiveX控件病毒——“Exploder”：能關(guān)閉Windows95系統(tǒng)，可見其控制能力之強(qiáng)。利用Java編寫包含惡意代碼程序：Applicationmacros、Navigatorplug-ins、Macintosh等應(yīng)用程序

現(xiàn)在有些計(jì)算機(jī)病毒是在用戶未知情況下所執(zhí)行一些操作而感染傳輸。新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第23頁(yè)4.3.2計(jì)算機(jī)病毒駐留內(nèi)存技術(shù)1．引導(dǎo)型病毒駐留內(nèi)存技術(shù)引導(dǎo)型病毒是在計(jì)算機(jī)開啟時(shí)從磁盤引導(dǎo)扇區(qū)被ROMBIOS中引導(dǎo)程序讀入內(nèi)存。在將控制權(quán)轉(zhuǎn)交給正常引導(dǎo)程序去做深入系統(tǒng)啟開工作之前，將本身搬移到內(nèi)存高端，即RAM最高端，同時(shí)修改可用內(nèi)存空間。比如：“小球”、“大麻”、“米開朗琪羅”等病毒引導(dǎo)型病毒總是以駐留內(nèi)存形式進(jìn)行感染。利用DOSChkdsk或Pctools程序可發(fā)覺內(nèi)存總數(shù)降低；利用Debug不但可發(fā)覺內(nèi)存降低，而且可發(fā)覺病毒在內(nèi)存詳細(xì)位置。新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第24頁(yè)4.3.2計(jì)算機(jī)病毒駐留內(nèi)存技術(shù)2．文件型病毒不駐留內(nèi)存技術(shù)感染方法是只要被運(yùn)行一次，就在磁盤中尋找一個(gè)未被該病毒感染文件進(jìn)行感染。當(dāng)程序運(yùn)行結(jié)束，病毒連同其宿主程序一起離開內(nèi)存，不留任何痕跡。其傳染和擴(kuò)散速度相對(duì)于內(nèi)存駐留型病毒稍差些。如：“維也納DOS648”、“Taiwan”、“Syslock”、“W13”等病毒新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第25頁(yè)4.3.2計(jì)算機(jī)病毒駐留內(nèi)存技術(shù)3．文件型病毒駐留內(nèi)存技術(shù)

文件型病毒能夠駐留在內(nèi)存高端，也可駐留在內(nèi)存低端

如：“1575”、“DIR2”、“4096”、“新世紀(jì)”、“中國(guó)炸彈”、“旅行者1202”等病毒采取DOS中止調(diào)用27H和系統(tǒng)功效調(diào)用31H。

文件型病毒可駐留在它被系統(tǒng)調(diào)入內(nèi)存時(shí)所在位置（往往是內(nèi)存低端）?？杀籇OSMEM和PctoolsMI查看到。

如：“1808”病毒很多病毒采取了直接修改MCB方法。

能夠駐留在內(nèi)存低端，也可搬移到內(nèi)存高端，能夠躲避監(jiān)視。

如：“1575”、“4096”等病毒新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第26頁(yè)4.3.2計(jì)算機(jī)病毒駐留內(nèi)存技術(shù)Windows環(huán)境下病毒內(nèi)存駐留（補(bǔ)充）方法一：病毒作為一個(gè)應(yīng)用程序因?yàn)閃indows操作系統(tǒng)本身就是多任務(wù)，所以最簡(jiǎn)單內(nèi)存駐留方法是將病毒作為一個(gè)應(yīng)用程序，病毒擁有自己窗口(可能是隱藏)、擁有自己消息處理函數(shù)方法二：病毒獨(dú)立占用系統(tǒng)內(nèi)存塊使用DPMI申請(qǐng)一塊系統(tǒng)內(nèi)存，將病毒代碼放置其中方法三：病毒作為一個(gè)設(shè)備驅(qū)動(dòng)程序?qū)⒉《咀鳛橐粋€(gè)VXD（Win3.x或者Win9x環(huán)境下設(shè)備驅(qū)動(dòng)程序）或者在WinNT／Win下設(shè)備驅(qū)動(dòng)程序WDM加載到內(nèi)存中運(yùn)行新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第27頁(yè)4.3.3修改中止向量表技術(shù)引導(dǎo)型病毒和駐留內(nèi)存文件型病毒大都要修改中止向量表，以到達(dá)將計(jì)算機(jī)病毒代碼掛接入系統(tǒng)目標(biāo)。對(duì)于引導(dǎo)型病毒，磁盤輸入輸出中止13H是其傳染磁盤唯一通道。經(jīng)過將病毒傳染模塊鏈入13H磁盤讀寫中止服務(wù)程序，就可在用戶利用正常系統(tǒng)服務(wù)時(shí)感染軟硬盤。新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第28頁(yè)4.3.4計(jì)算機(jī)病毒隱藏技術(shù)采取“隱藏”技術(shù)計(jì)算機(jī)病毒表現(xiàn)形式：計(jì)算機(jī)病毒進(jìn)入內(nèi)存后，若計(jì)算機(jī)用戶不用專用軟件或?qū)ｉT伎倆去檢驗(yàn)，則幾乎感覺不到因計(jì)算機(jī)病毒駐留內(nèi)存而引發(fā)內(nèi)存可用容量降低。計(jì)算機(jī)病毒感染了正常文件后，該文件日期和時(shí)間不發(fā)生改變。所以用DIR命令查看目錄時(shí)，看不到某個(gè)文件因被計(jì)算機(jī)病毒改寫過造成日期、時(shí)間有改變。計(jì)算機(jī)病毒在內(nèi)存中時(shí)，用DIR命令看不見因計(jì)算機(jī)病毒感染而引發(fā)文件長(zhǎng)度增加。新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第29頁(yè)4.3.4計(jì)算機(jī)病毒隱藏技術(shù)采取“隱藏”技術(shù)計(jì)算機(jī)病毒表現(xiàn)形式：計(jì)算機(jī)病毒在內(nèi)存中時(shí)，若查看被該計(jì)算機(jī)病毒感染文件，則看不到計(jì)算機(jī)病毒程序代碼，只看到原正常文件程序代碼。計(jì)算機(jī)病毒在內(nèi)存中時(shí)，若查看被計(jì)算機(jī)病毒感染引導(dǎo)扇區(qū)，則只會(huì)看到正常引導(dǎo)扇區(qū)，而看不到實(shí)際上處于引導(dǎo)扇區(qū)位置計(jì)算機(jī)病毒程序。計(jì)算機(jī)病毒在內(nèi)存中時(shí)，計(jì)算機(jī)病毒防范程序和其它工具程序檢驗(yàn)不出中止向量被計(jì)算機(jī)病毒接管，但實(shí)際上計(jì)算機(jī)病毒代碼已鏈接到系統(tǒng)中止服務(wù)程序中新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第30頁(yè)4.3.4計(jì)算機(jī)病毒隱藏技術(shù)1．靜態(tài)隱藏技術(shù)靜態(tài)隱藏技術(shù)：指計(jì)算機(jī)病毒代碼依附在宿主程序上時(shí)所擁有固有隱蔽性普通由父病毒在感染目標(biāo)程序時(shí)，依照目標(biāo)程序特征，產(chǎn)生特定子病毒，使其能隱蔽在宿主程序中而不被發(fā)覺秘密行動(dòng)法秘密行動(dòng)法：經(jīng)過去除感染程序所留下痕跡，恢復(fù)宿主文件特征，向查詢者返回虛假信息，而到達(dá)隱藏病毒目標(biāo)碎片技術(shù)：利用Windows環(huán)境PE可執(zhí)行文件分段存放，而各段有一些未使用剩下空間這一特征，將本身分割成小塊，隱藏在內(nèi)存空隙中，從而消除病毒改變文件長(zhǎng)度缺點(diǎn)新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第31頁(yè)4.3.4計(jì)算機(jī)病毒隱藏技術(shù)秘密行動(dòng)法：引導(dǎo)型病毒隱藏方法一感染時(shí)，修改中止服務(wù)程序使用時(shí)，截獲INT13調(diào)用讀請(qǐng)求讀請(qǐng)求返回?cái)?shù)據(jù)返回?cái)?shù)據(jù)返回?cái)?shù)據(jù)DOS應(yīng)用程序原來INT13H服務(wù)程序DOS下殺毒軟件病毒感染后INT13H服務(wù)程序普通扇區(qū)普通扇區(qū)被病毒感染扇區(qū)被病毒感染扇區(qū)原始扇區(qū)讀扇區(qū)調(diào)用新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第32頁(yè)4.3.4計(jì)算機(jī)病毒隱藏技術(shù)秘密行動(dòng)法：引導(dǎo)型病毒隱藏方法二針對(duì)殺毒軟件對(duì)磁盤直接讀寫特點(diǎn)，截獲INT21H，然后恢復(fù)感染區(qū)，最終，再進(jìn)行感染。感染后INT21H功效40H（加載一個(gè)程序執(zhí)行）執(zhí)行反病毒程序恢復(fù)被病毒感染扇區(qū)為原來內(nèi)容原來INT21H功效重新感染扇區(qū)返回DOS命令解釋程序（COMMAND..COM）DOS命令解釋程序（COMMAND..COM）新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第33頁(yè)4.3.4計(jì)算機(jī)病毒隱藏技術(shù)秘密行動(dòng)法：文件型病毒隱藏方法攔截（API,INT調(diào)用）訪問——恢復(fù)——再感染DOSINT21H調(diào)用隱藏病毒扇區(qū)列目錄時(shí)顯示感染前文件大小讀寫文件看到正常文件內(nèi)容執(zhí)行或者搜索時(shí)隱藏病毒在支持長(zhǎng)文件名系統(tǒng)隱藏本身INT13H（直接磁盤訪問）列目錄功效讀寫功效(Read、Write)執(zhí)行功效（EXEC）其它功效（rename等）視窗操作系統(tǒng)下，支持長(zhǎng)文件名擴(kuò)展DOS調(diào)用新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第34頁(yè)4.3.4計(jì)算機(jī)病毒隱藏技術(shù)自加密技術(shù)計(jì)算機(jī)病毒能夠?qū)o態(tài)計(jì)算機(jī)病毒加密，同時(shí)也能夠?qū)M(jìn)駐內(nèi)存動(dòng)態(tài)計(jì)算機(jī)病毒進(jìn)行加密MutationEngine多態(tài)技術(shù)采取特殊加密技術(shù)，每感染一個(gè)對(duì)象，放入宿主程序代碼都不相同，幾乎沒有任何特征代碼串，從而能有效反抗采取特征串搜索法類殺毒軟件查殺插入性病毒技術(shù)插入性病毒在不了解宿主程序功效和結(jié)構(gòu)前提下，能將宿主程序在適當(dāng)處截?cái)?，在宿主程序中部插入病毒程序，并做到使病毒能取得運(yùn)行權(quán)，到達(dá)與宿主程序融為一體新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第35頁(yè)4.3.4計(jì)算機(jī)病毒隱藏技術(shù)2．動(dòng)態(tài)隱藏技術(shù)動(dòng)態(tài)隱藏技術(shù)：指計(jì)算機(jī)病毒代碼在駐留、運(yùn)行和發(fā)作期間所擁有隱蔽性計(jì)算機(jī)病毒利用操作系統(tǒng)功效和漏洞，后臺(tái)執(zhí)行監(jiān)視和感染功效，預(yù)防被普通內(nèi)存或進(jìn)程管理程序發(fā)覺反Debug跟蹤技術(shù)Debug主要利用系統(tǒng)中止INT1和INT3進(jìn)行動(dòng)態(tài)跟蹤。計(jì)算機(jī)病毒抑制跟蹤方法主要是修改INT1和INT3中止服務(wù)程序入口地址內(nèi)容來破壞跟蹤另外，常見其它反跟蹤技術(shù)有：封鎖鍵盤輸入、封鎖屏幕輸出等新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)和特點(diǎn)和技術(shù)第36頁(yè)4.3.4計(jì)算機(jī)病毒隱藏技術(shù)檢測(cè)系統(tǒng)調(diào)試存放器，預(yù)防計(jì)算機(jī)病毒被動(dòng)態(tài)跟蹤調(diào)試現(xiàn)在操