|
知识路径: > 恶意代码防范技术原理 > 恶意代码概述 > 恶意代码生存技术 > 恶意代码生存技术 > 反跟踪技术 >
|
相关知识点:2个
|
|
|
|
. 禁止跟踪中断。针对调试分析工具运行系统的单步中断与断点中断服务程序,恶意代码通过修改中断服务程序的入口地址来实现其反跟踪的目的。1575计算机病毒使用该方法将堆栈指针指向处于中断向量表中的INT 0至INT 3区域,阻止调试工具对其代码进行跟踪,封锁键盘输入和屏幕显示,使跟踪调试工具运行的必需环境被破坏。
|
|
|
. 检测跟踪法。根据检测跟踪调试时和正常执行时的运行环境、中断入口和时间的不同,采取相应的措施实现其反跟踪目的。例如,通过操作系统的API函数试图打开调试器的驱动程序句柄,检测调试器是否激活确定代码是否继续运行。
|
|
|
. 其他反跟踪技术。如指令流队列法和逆指令流法等。
|
|
|