12.1.5恶意代码生存技术 1)反跟踪技术 恶意代码通过反跟踪技术来增强自身的隐蔽性, 使得恶意代码的检测难度变大,减少被系统发现 的可能性。 根据恶意代码的检测方法可以将反跟踪技术分为 两类: ① 反静态跟踪技术 反动态跟踪技术 信息安全导论12 17
12.1.5 恶意代码生存技术 1)反跟踪技术 • 恶意代码通过反跟踪技术来增强自身的隐蔽性, 使得恶意代码的检测难度变大,减少被系统发现 的可能性。 • 根据恶意代码的检测方法可以将反跟踪技术分为 两类: ① 反静态跟踪技术 ② 反动态跟踪技术 信息安全导论12 17
()反静态跟踪技术:为了防止逆向分析者对程 序反编译进行静态分析,可以将恶意代码分为多 块并对每块进行加密,并且不同时装载到内存中 每执行完一段代码就立刻将其删除,使得分析者 得不到完整的攻击代码。,还有一种方法是在恶意 代码中加入一些伪指令使代码变形,这样分析 进行反编译时得到的指令将会包貪大量的无效 早 抚信息,导致无法顺痢地进行静分析 (2)反动态跟踪技术:由于分析者主要是使用调 试器(如Debug)的中断功能来进行恶意代码的跟 踪和调试,所以,反动态跟踪技术的基本原理 是要破坏单步中断、断点中断或者破坏调试工 具 的运行环境,使得其无法跟踪程序的运行。常 的反动态跟踪方法主要包括修改中断服务程序 入 地址、封锁键盘输入和屏幕显示、检测跟踪法 等 信息安全导论12 18
• (1)反静态跟踪技术:为了防止逆向分析者对程 序反编译进行静态分析,可以将恶意代码分为多 块并对每块进行加密,并且不同时装载到内存中, 每执行完一段代码就立刻将其删除,使得分析者 得不到完整的攻击代码。还有一种方法是在恶意 代码中加入一些伪指令使代码变形,这样分析者 进行反编译时得到的指令将会包含大量的无效干 扰信息,导致无法顺利地进行静态分析。 • (2)反动态跟踪技术:由于分析者主要是使用调 试器(如Debug)的中断功能来进行恶意代码的跟 踪和调试,所以,反动态跟踪技术的基本原理就 是要破坏单步中断、断点中断或者破坏调试工具 的运行环境,使得其无法跟踪程序的运行。常见 的反动态跟踪方法主要包括修改中断服务程序入 口地址、封锁键盘输入和屏幕显示、检测跟踪法 等。 信息安全导论12 18
12.1.5恶意代码生存技术 一2)加密、加壳技术 恶意代码大多都会对自身程序代码进行加密,加 密技术经常与反跟踪技术配合使用,使得逆向分 析者不能得到完整的、正确的恶意代码进行反编 译。 加壳技术一般对恶意代码文件(exe、dll文件)里 面的内存进行加密和压缩,这里需要用到特殊的 算法,分析者只有将加过壳的恶意程序脱壳之后 才能看到源代码,这样达到反跟踪的目的。 信息安全导论12 19
12.1.5 恶意代码生存技术——2)加密、加壳技术 • 恶意代码大多都会对自身程序代码进行加密,加 密技术经常与反跟踪技术配合使用,使得逆向分 析者不能得到完整的、正确的恶意代码进行反编 译。 • 加壳技术一般对恶意代码文件(exe、dll文件)里 面的内存进行加密和压缩,这里需要用到特殊的 算法,分析者只有将加过壳的恶意程序脱壳之后 才能看到源代码,这样达到反跟踪的目的。 信息安全导论12 19
12.1.5恶意代码生存技术一3)变形技术 变形技术是指在复制或者传播恶意代码时让其产 生变形,防止被基于特征的检测工具识别,使得 恶意代码能够长期在日标系统或者网络中存活而 不被发现。 其主要是通过对恶意代码片段进行动态地加密和 解密来实现变形的,每一次变形都会将代码进行 动态转化,并且和原来的代码不同。 这种技术虽然使得代码表面发生了变化,但不会 改变代码实际功能。 信息安全导论12 20
12.1.5 恶意代码生存技术—— 3)变形技术 • 变形技术是指在复制或者传播恶意代码时让其产 生变形,防止被基于特征的检测工具识别,使得 恶意代码能够长期在目标系统或者网络中存活而 不被发现。 • 其主要是通过对恶意代码片段进行动态地加密和 解密来实现变形的,每一次变形都会将代码进行 动态转化,并且和原来的代码不同。 • 这种技术虽然使得代码表面发生了变化,但不会 改变代码实际功能。 信息安全导论12 20
12.2常见恶意代码 12.2.1计算机病毒 1.病毒的概念与特征 ·计算机病毒是一种人为编制的、能够对计算机正常程序 的执行或数据文件造成破坏,并且能够自我复制的一组 指令程序代码。 。7 和生物病毒一样,计算机病毒执行使自身能完美复制的 程序代码。因此,通过可信任用户在不同计算机间使用 磁盘或借助于网络向他人发送文件,病毒是可能从一台 计算机传到另一台计算机的。在网络环境下,访问其他 计算机的某个应用或系统服务的功能,给病毒的传播提 供了一个完美的条件。 ·病毒程序可以执行其他程序所能执行的一切功能,唯一 不同的是它必须将自身附着在其他程序(宿主程序)上, 当运行该宿主程序时,病毒也跟着悄悄地执行了。 信息安全导论12 21
12.2 常见恶意代码 12.2.1 计算机病毒 1.病毒的概念与特征 • 计算机病毒是一种人为编制的、能够对计算机正常程序 的执行或数据文件造成破坏,并且能够自我复制的一组 指令程序代码。 • 和生物病毒一样,计算机病毒执行使自身能完美复制的 程序代码。因此,通过可信任用户在不同计算机间使用 磁盘或借助于网络向他人发送文件,病毒是可能从一台 计算机传到另一台计算机的。在网络环境下,访问其他 计算机的某个应用或系统服务的功能,给病毒的传播提 供了一个完美的条件。 • 病毒程序可以执行其他程序所能执行的一切功能,唯一 不同的是它必须将自身附着在其他程序(宿主程序)上, 当运行该宿主程序时,病毒也跟着悄悄地执行了。 信息安全导论12 21