| 在恶意代码的查杀过程中,多数杀毒厂商通过提取恶意代码特征值的方式对恶意代码进行分辨。这种基于特征码的病毒查杀技术的致命缺点是需要一个特征代码库,同时这个库中的代码要具有固定性。病毒设计者利用这一漏洞,设计出具体同一功能不同特征码的恶意代码。这种变换恶意代码特征码的技术称为变形技术。常见的恶意代码变形技术包括如下几个方面:
|
|
|
| . 重汇编技术。变形引擎对病毒体的二进制代码进行反汇编,解码每一条指令,并对指令进行同义变换。如“Regswap”就采用简单的寄存器互换的变形。
|
|
|
| . 压缩技术。变形器检测病毒体反汇编后的全部指令,对可进行压缩的一段指令进行同义压缩。
|
|
|
| . 膨胀技术。压缩技术的逆变换就是对汇编指令同义膨胀。
|
|
|
| . 伪指令技术。伪指令技术主要是对病毒体插入废指令,例如空指令、跳转到下一指令和压弹栈等。
|
|
|
| . 重编译技术。病毒体携带病毒体的源码,需要自带编译器或者利用操作系统提供的编译器进行重新编译,这为跨平台的恶意代码的出现打下了基础。
|
|
|
京公网安备 11010502032051号 | 营业执照