返回顶端

　　 恶意软件防护机制

　　 许多恶意软件示例使用某种类型的防护机制，来降低被发现和删除的可能性。以下列表提供了一些已被使用的技术的示例：

　　 • 装甲。这种类型的防护机制使用某种试图防止对恶意代码进行分析的技术。这种技术包括检测调试程序何时运行并试图阻止恶意代码正常工作，或添加许多无意义的代码，使人很难判断恶意代码的用途。
 
　　 • 窃取。恶意软件使用此类技术，通过截获信息请求并返回错误数据来隐藏其自身。例如，病毒可能会存储未受感染的启动扇区的图像，并在有人尝试查看受感染的启动扇区时显示此图像。1986 年，最早被人们知道的计算机病毒（称为"Brain"）便使用了这种技术。
 
　　 • 加密。使用此防护机制的恶意软件加密其自身或负载（有时甚至加密其他系统数据），以防止检测或数据检索。加密的恶意软件包含静态的解密例程、加密密钥和加密的恶意代码（其中包含加密例程）。执行时，恶意软件使用解密例程和密钥来解密恶意代码。然后，恶意软件创建其代码的副本，并生成新的加密密钥。它使用该密钥及其加密例程来加密自身的新副本，然后使用解密例程添加新的密钥来启动新副本。与多态病毒不同，加密恶意软件总是使用相同的解密例程，因此尽管密钥值（以及加密的恶意代码签名）通常在不同的感染之间进行更改，但防病毒软件也可以搜索静态的解密例程，来检测出使用此防护机制的恶意软件。
 
　　 • 寡态。显示此特征的恶意软件使用加密防护机制进行自身防护，并且可以将加密例程更改为只能使用固定的次数（通常数目很小）。例如，可生成两个不同解密例程的病毒将被划分到寡态。
 
　　 • 多态。这种类型的恶意软件使用加密防护机制更改其自身，以免被检测出来，它通常采用如下方式：使用加密例程加密恶意软件自身，然后为每个变形提供不同的解密密钥。因此，多态恶意软件使用不限数量的加密例程来防止自身被检测出来。恶意软件复制时，解密代码中的一部分将被修改。根据特定的恶意代码，所执行的负载或其他操作可能使用加密，也可能不使用加密。通常情况下有一个变形引擎，它是生成随机加密例程的加密恶意软件的自包含组件。此引擎和恶意软件都将被加密，并且新的解密密钥会同它们一起传送。

返回顶端

上一页  [1] [2]