|
多态病毒(Polymorphic Viruses)
|
|
|
知识路径: > 恶意代码防范技术原理 > 计算机病毒分析与防护 > 计算机病毒常见类型与技术(引导型病毒、宏病毒、多态病毒、隐蔽病毒等) > 计算机病毒常见类型与技术 >
|
相关知识点:4个
|
|
|
|
多态病毒每次感染新的对象后,通过更换加密算法,改变其存在形式。一些多态病毒具有超过二十亿种呈现形式,这就意味着反病毒软件常常难以检测到它,一般需要采用启发式分析方法来发现。多态病毒有三个主要组成部分:杂乱的病毒体、解密例程(decryption routine)、变化引擎(mutation engine)。在一个多态病毒中,变化引擎和病毒体都被加密。一旦用户执行被多态病毒感染过的程序,则解密例程首先获取计算机的控制权,然后将病毒体和变化引擎进行解密。接下来,解密例程把控制权转让给病毒,重新开始感染新的程序。此时,病毒进行自我复制以及变化引擎随机访问内存(RAM)。病毒调用变化引擎,随机产生能够解开新病毒的解密例程。病毒加密产生新的病毒体和变化引擎,病毒将解密例程连同新加密的病毒和变化引擎一起放到程序中。这样一来,不仅病毒体被加密过,而且病毒的解密例程也随着感染不同而变化。因此,多态病毒没有固定的特征、没有固定的加密例程,从而就能逃避基于静态特征的病毒扫描器的检测。
|
|
|
|
|
|
|
|
|
|
|
|