| 恶意代码靠采用反跟踪技术来提高自身的伪装能力和防破译能力,使检测与清除恶意代码的难度大大增加。反跟踪技术大致可以分为两大类:反动态跟踪技术和反静态分析技术。
|
|
|
|
|
| . 禁止跟踪中断。针对调试分析工具运行系统的单步中断与断点中断服务程序,恶意代码通过修改中断服务程序的入口地址来实现其反跟踪的目的。1575计算机病毒使用该方法将堆栈指针指向处于中断向量表中的INT 0至INT 3区域,阻止调试工具对其代码进行跟踪,封锁键盘输入和屏幕显示,使跟踪调试工具运行的必需环境被破坏。
|
|
|
| . 检测跟踪法。根据检测跟踪调试时和正常执行时的运行环境、中断入口和时间的不同,采取相应的措施实现其反跟踪目的。例如,通过操作系统的API函数试图打开调试器的驱动程序句柄,检测调试器是否激活确定代码是否继续运行。
|
|
|
| . 其他反跟踪技术。如指令流队列法和逆指令流法等。
|
|
|
|
|
| . 对程序代码分块加密执行。为了不让程序代码通过反汇编进行静态分析,将分块的程序代码以密文形式装入内存,由解密程序在执行时进行译码,立即清除执行完毕后的代码,力求分析者在任何时候都无法从内存中获得执行代码的完整形式。
|
|
|
| . 伪指令法。伪指令法指将“废指令”插入指令流中,让静态反汇编得不到全部正常的指令,进而不能进行有效的静态分析。例如,Apparition是一种基于编译器变形的Win32平台的病毒,每次新的病毒体可执行代码被编译器编译出来时都要被插入一定数量的伪指令,不仅使其变形,而且实现了反跟踪的目的。不仅如此,伪指令技术还广泛应用于宏病毒与脚本恶意代码之中。
|
|
|
京公网安备 11010502032051号 | 营业执照