5隐蔽性病毒技术 ·引导型隐藏方法 感染时,修改中断服务程序 使用时,截获|NT13调用 读扇区调用 DOS应用程序 DOS下的杀毒软件 病毒感染后的NT13H服务程序 原来的INT13H服务程序 被病毒感染的扇区 读请求 返回数 回数据 被病毒感染的扇区的原始扇区
5 隐蔽性病毒技术 • 引导型隐藏方法一 – 感染时,修改中断服务程序 – 使用时,截获INT 13调用 DOS应用程序 原来的INT13H服务程序 DOS下的杀毒软件 病毒感染后的INT13H服务程序 普通扇区 普通扇区 被病毒感染的扇区 被病毒感染的扇区的原始扇区 读扇区调用 读请求 读请求 返回数据 返回数据 返回数据
·引导型隐藏 方法二 DOS命令解释程序( COMMAND COM) 针对杀毒软 用户敲入 AVEXE执行反病毒程序 件对磁盘直 感染后的NT2H功能40H(加载一个程序执行) 接读写的特 占 恢复被病毒感染的扇区为原来的内容 截获|NT 原来的ⅣNT2H功能 21H,然后 恢复感染区 重新感染扇区 最后,再进 返回DOS命令解释程序(COMMAND.COM) 行感染
• 引导型隐藏 方法二 – 针对杀毒软 件对磁盘直 接读写的特 点。 – 截获 INT 21H,然后 恢复感染区 – 最后,再进 行感染 DOS命令解释程序(COMMAND..COM) 感染后的INT 21H功能40H(加载一个程序执行) 用户敲入AV.EXE执行反病毒程序 恢复被病毒感染的扇区为原来的内容 原来的INT21H功能 重新感染扇区 返回DOS命令解释程序(COMMAND..COM)
文件型病毒的隐藏技术 ·拦截(AP,INT调用)访问——〉恢复 再感染。例如,改变文件大小病毒,dir病毒等 INT13H(直接磁盘访问) 隐藏病毒扇区 DOS INT2H调用 列目录功能( Findfirst、 FindNext) 列目录时显示感染前的文件大小 读写功能(Read、Wrte) 读写文件看到正常的文件内容 执行功能(EXEC) 执行或者搜索时隐藏病毒 其他功能( rename等) 视窗操作系统下,支持长文件名的扩展DOS 在支持长文件名的系统隐藏自身
文件型病毒的隐藏技术 • 拦截(API, INT调用)访问 ——〉 恢复 ——〉 再感染。例如,改变文件大小病毒, dir病毒等 DOS INT21H调用 INT13H(直接磁盘访问) 列目录功能(FindFirst、FindNext) 读写功能(Read、Write) 执行功能(EXEC) 其他功能(rename等) 视窗操作系统下,支持长文件名的扩展DOS 调用 隐藏病毒扇区 列目录时显示感染前的文件大小 读写文件看到正常的文件内容 执行或者搜索时隐藏病毒 在支持长文件名的系统隐藏自身
宏病毒的隐藏技术 删除相关的菜单项:“文件一>模板”或者 工具一>宏” 使用宏病毒自己的 File Templates和 Tools Macro宏替代系统缺省的宏
宏病毒的隐藏技术 • 删除相关的菜单项:“文件->模板”或者 “工具->宏” • 使用宏病毒自己的FileTemplates和 ToolsMacro宏替代系统缺省的宏
6多态性病毒技术 ·多态病毒就是没有特殊特征码的病毒,这 种病毒无法(或极难)用特征码扫描法检 测到 方法: 使用不固定的密钥或者随机数加密病毒代码 运行的过程中改变病毒代码 通过一些奇怪的指令序列实现多态性 ·BAS|C,She等解释性语言可以在一行包 括很多语句
6 多态性病毒技术 • 多态病毒就是没有特殊特征码的病毒,这 种病毒无法(或极难)用特征码扫描法检 测到。 • 方法: – 使用不固定的密钥或者随机数加密病毒代码 – 运行的过程中改变病毒代码 – 通过一些奇怪的指令序列实现多态性 • BASIC,Shell等解释性语言可以在一行包 括很多语句