恶意软件自律保鲜技术


  Share  
|


我们已经讨论了各类攻防技术对抗病毒。 然而,病毒作者都知道,我们的防御系统,并正在积极工作,就破坏了他们。 1恶意代码标本可聘请若干技术中,企图逃避侦查和消除,其中包括stealthing ,多态性,变质,以及杀毒失活。 就拿随便翻一下这些自我保鲜技术之一,在一段时间。

stealthing

stealthing指的过程中隐瞒存在的恶意软件对被感染系统。 一原始stealthing方法,就是经常被同伴病毒涉及简单设置"隐藏"属性的病毒档案,使之不太可能受害者就会发现文件目录列表。 流同伴病毒有一个更强大的stealthing组件时,他们十分重视主机,就没有新的文件产生,而大部分工具将报告中指出的大小而原来的档案则没有改变。 在windows机器上使用ntfs文件系统,这些病毒被列入候补数据流与一些正常的档案制度。

另一种方式,其中一种病毒可以伪装自己,是由拦截杀毒软件的尝试读取一个文件,并提交一份干净版本的文件到扫描器。 当扫描器看来,在被感染的文件,被感染的文件提出了一种有益健康的形象展现给扫描器。 在又一次stealthing的情况下,一个病毒可能会放慢速度,它的感染者或损害赔偿的档案,以便它把用户带到相当长的时间,实现了什么事情。

多态性与变质

多态性是通过这一过程恶意代码修改了,它的出现,以挫败检测,实际上不改变其基本功能。 一词多形性表明,该代码可以假设有许多形式,都具有相同的功能。 采用这种技术,病毒代码动态变化本身,每次它运行。 该病毒仍具有相同的目的,而是一个非常不同的代码基础。 任何签字侧重于较早前形式的代码将不再发现新的,就跃版本。 也许是一个最简单的方式来实施这一技术在基于脚本的病毒是有标本更改姓名的内部变量和子程序之前感染新的宿主。 这些名字一般是随机挑选的任务复杂化,创造一个签名为标本。

另一种方式实现多态性涉及改变秩序,在这种秩序指示均包含在人体内的病毒。 这可能是棘手的实施,因为该标本的需要,以确保这项新秩序,但并未改变功能的代码。 病毒还可以修改自己的签名插入指示纳入其代码并不做任何事情,如减去,然后加入1至价值。 这些功能惰性指示,让该守则,以保持其原有的功能,但回避了一些基于签名的检测。

在又一次多态性技术,病毒,加密,它的大部分代码,留下清晰的文本唯一指示要自动解密到本身内存在运行时。 这种病毒通常是使用不同的随机产生的关键加密其身体,嵌入关键在某处,其代码,并有很大出入的面貌解密算法,以混淆视听基于签名的扫描仪。 流动专家组突变引擎,释放大约1992年,是第一个工具,很容易加入多态性能力,以任意的恶意代码,而变形的dvp4000 。

需变质过程中发生变异标本更进一步略有改变功能,该病毒一旦扩散。 这往往是做了微妙的方式,以确保病毒逃避侦查而不丧失其效力。 变质的病毒往往是从结构上改变了他们的档案,由不同位置的变异和加密套路。 此外,变质的标本,如比喻,有能力动态地拆开自己,改变自己的代码,然后再重新组装起来,可执行形式。

防毒失

其中一个方法,在其中的恶意代码试图保护其草坪是由缺陷病毒的保护机制,对目标机器。 最突出的候选人,都是失活过程属于杀毒软件运行于受感染的系统。 最成功的病毒采用这种技术可能会步入系统承认,然后匆匆禁用杀毒软件前恶意软件得到侦破,或在用户更新数据库的病毒码。

该prockill木马是其中的一位恶意软件标本载列了200多进程的名字,通常属于反病毒和个人防火墙程序。 一旦安装了该系统, prockill搜查名单正在运行的进程,并终止这些,因为它承认。 如果没有适当的防病毒和个人防火墙的进程上运行的机器,该病毒已自由行事来感染和改变这个制度。

一个有趣的推广这一技术是由甲氨喋呤病毒/蠕虫病毒的传播在2000年。 经过系统中毒,甲氨喋呤监测受害人的尝试连接到互联网,阻止进入的领域,均可能属于反病毒厂商。 一种方法一样,这样可防止用户无法轻易地安装防毒软件或更新其签字,聪明的,但最恶劣的做法,为坏人。 如果你无法浏览到该病毒签名数据库更新功能,你将无法检测新的恶意攻击对你的盒子。

一些病毒还企图绕过安全所施加的限制,微软办公室说,我们研究较早。 您可能还记得,微软office使我们能够阻止我们获得了vbproject对象包含的命令经常用来宏观病毒感染的新文件。 这项限制是由注册表设置一个病毒可能会操纵。 如果用户允许巨集指令,在被感染的文件来执行,该病毒便可以改变这个注册表设置,以消除限制进入该vbproject对象。 这一技术是由利什蒂(也称为kallisti )病毒。

利什蒂始于此代码段通过检查的价值书记关键accessvbom 。 如果是设定为1 ,然后进入vbproject不是限制,这种病毒可以继续感染。 如果获得vbproject被阻塞(即,它的价值是大于或小于1 ) ,然后利什蒂套书记的关键1 ,并退出微软word经wordbasic.fileexit呼吁。 字,需要重新再作变化,从而accessvbom关键才能正式生效。 下一次用户打开受感染的文件,获得vbproject将不再受限制,该病毒能继续传播。

挫败了恶意软件自律保鲜技术

大家可以看到,有相当多的措施,恶意代码可以在一个企图绕过我们的安全机制。 对于每一项措施是有反制措施,而有其自身的反制对策,等等。 为了维持有效的,在这样的环境时,要确保你理解的威胁,以及它们如何适用于你的环境,并且不依赖于一个单一的防御层,以保护自己对恶意软件的感染。 每个这些自我保鲜技术,可以挫败勤劳的应用杀毒软件,配置硬化,和用户教育。 防毒软件解决方案已越来越聪明,在自己的能力,以现货隐身多态性代码和简单的生存,失活的见证。 保持你的杀毒签名和扫描引擎,直至目前为止,你将受益于这些预付款。 此外,健全的用户教育,甚至是很微妙的恶意代码,将不太可能找到自己的方式进入你的系统摆在首位。

这是一篇文章说,由利维四约翰逊

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions