反病毒引擎设计

• 
  当然，虚拟执行技术使用范围远不止自动脱壳（虚拟机查毒实际上是自动跟踪病毒入口的解密子将加密的病毒体按其解密算法进行解密），它还可以应用在跨平台高级语言解释器，恶意代码分析，调试器。如刘涛涛设计的国产调试器Trdos就是完全利用虚拟技术解释执行被调试程序的每条指令，这种调试器比较起传统的断点式调试器（Debug,Softice等）具有诸多优势，如不易被被调试者察觉，断点个数没有限制等。
  
  2.2加密变形病毒
  前面提到过设计虚拟机查毒的目的是为了对付加密变形病毒。这一章就重点介绍加密变形技术。
  
  早期病毒没有使用任何复杂的反检测技术，如果拿反汇编工具打开病毒体代码看到的将是真正的机器码。因而可以由病毒体内某处一段机器代码和此处距离病毒入口（注意不是文件头）偏移值来唯一确定一种病毒。查毒时只需简单的确定病毒入口并在指定偏移处扫描特定代码串。这种静态扫描技术对付普通病毒是万无一失的。
  
  随着病毒技术的发展，出现了一类加密病毒。这类病毒的特点是：其入口处具有解密子（decryptor），而病毒主体代码被加了密。运行时首先得到控制权的解密代码将对病毒主体进行循环解密，完成后将控制交给病毒主体运行，病毒主体感染文件时会将解密子，用随机密钥加密过的病毒主体，和保存在病毒体内或嵌入解密子中的密钥一同写入被感染文件。由于同一种病毒的不同传染实例的病毒主体是用不同的密钥进行加密，因而不可能在其中找到唯一的一段代码串和偏移来代表此病毒的特征，似乎静态扫描技术对此即将失效。但仔细想想，不同传染实例的解密子仍保持不变机器码明文（从理论上讲任何加密程序中都存在未加密的机器码，否则程序无法执行），所以将特征码选于此处虽然会冒一定的误报风险（解密子中代码缺少病毒特性，同样的特征码也会出现在正常程序中），但仍不失为一种有效的方法。
  
  由于加密病毒还没有能够完全逃脱静态特征码扫描，所以病毒写作者在加密病毒的基础之上进行改进，使解密子的代码对不同传染实例呈现出多样性，这就出现了加密变形病毒。它和加密病毒非常类似，唯一的改进在于病毒主体在感染不同文件会构造出一个功能相同但代码不同的解密子，也就是不同传染实例的解密子具有相同的解密功能但代码却截然不同。比如原本一条指令完全可以拆成几条来完成，中间可能会被插入无用的垃圾代码。这样，由于无法找到不变的特征码，静态扫描技术就彻底失效了。下面先举两个例子说明加密变形病毒解密子构造，然后再讨论怎样用虚拟执行技术检测加密变形病毒。
  
  著名多形病毒Marburg的变形解密子：
  
   00401020: movsx edi,si ；病毒入口
   00401023: movsx edx,bp
   00401026: jmp 00408a99
   ......
   00407400: ；病毒体入口
   加密的病毒主体
   00408a94: ；解密指针初始值
   ......
   00408a99: mov dl,f7
   00408a9b: movsx edx,bx
   00408a9e: mov ecx,cf4b9b4f
   00408aa3: call 00408ac4
   ......
   00408ac4: pop ebx
   00408ac5: jmp 00408ade
   ......
   00408ade: mov cx,di
   00408ae1: add ebx,9fdbd22d
   00408ae7: jmp 00408b08
   ......
   00408b08: add ecx,80c1fbc1
   00408b0e: mov ebp,7fcdeff3 ；循环解密记数器初值
   00408b13: sub cl,39
   00408b16: movsx esi,si
  
• 上一页 [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 反病毒引擎设计 相关文章：
• ·卡巴斯基防火墙“反黑客”的设置技巧
• ·谷歌清除恶意链接 黑客反击破坏排名系统
• ·认识反网络钓鱼欺骗新技术
• ·微软Win Vista SP1加强反盗版
• ·企业选择反间谍软件程序10个要点
• ·增加Distinct后查询效率反而提高
• ·文件遭破坏致Win XP系统反复重启
• ·互联网基础建设影响博客 反对封杀P2P
• ·Xml 串行话对象与反串行实例
• ·Photoshop模拟太阳镜上的反光图像
• 反病毒引擎设计 相关软件
• ·《反恐精英》uyr精彩主视角录像
• ·《反恐精英》JAEGARN精彩主视角录像
• ·《反恐精英》录像：aTTaX vs GoodGame
• ·《反恐精英》NoA.ave精彩主视角录像
• ·《反恐精英》录像：MYM vs Logitech.fi
• ·《反恐精英》录像：俄罗斯 vs 法国
• ·《反恐精英》stone精彩主视角录像
• ·《反恐精英》fnatic.f0rest精彩主视角录像
• ·《反恐精英》saken精彩主视角录像
• ·《反恐精英》SK训练地图：glock 下载

上一篇:如何利用ASP把图片上传到数据库

下一篇:反病毒引擎设计

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐