|
|
知识路径: > 恶意代码防范技术原理 > 恶意代码概述 > 恶意代码生存技术 > 恶意代码生存技术 > 反跟踪技术 >
|
相关知识点:2个
|
|
|
|
. 对程序代码分块加密执行。为了不让程序代码通过反汇编进行静态分析,将分块的程序代码以密文形式装入内存,由解密程序在执行时进行译码,立即清除执行完毕后的代码,力求分析者在任何时候都无法从内存中获得执行代码的完整形式。
|
|
|
. 伪指令法。伪指令法指将“废指令”插入指令流中,让静态反汇编得不到全部正常的指令,进而不能进行有效的静态分析。例如,Apparition是一种基于编译器变形的Win32平台的病毒,每次新的病毒体可执行代码被编译器编译出来时都要被插入一定数量的伪指令,不仅使其变形,而且实现了反跟踪的目的。不仅如此,伪指令技术还广泛应用于宏病毒与脚本恶意代码之中。
|
|
|
|
|
|
|
|