反动态跟踪技术-软考在线

反动态跟踪技术



考试要求：掌握

知识路径： > 恶意代码防范技术原理 > 恶意代码概述 > 恶意代码生存技术 > 恶意代码生存技术 > 反跟踪技术

. 禁止跟踪中断。针对调试分析工具运行系统的单步中断与断点中断服务程序，恶意代码通过修改中断服务程序的入口地址来实现其反跟踪的目的。1575计算机病毒使用该方法将堆栈指针指向处于中断向量表中的INT 0至INT 3区域，阻止调试工具对其代码进行跟踪，封锁键盘输入和屏幕显示，使跟踪调试工具运行的必需环境被破坏。

. 检测跟踪法。根据检测跟踪调试时和正常执行时的运行环境、中断入口和时间的不同，采取相应的措施实现其反跟踪目的。例如，通过操作系统的API函数试图打开调试器的驱动程序句柄，检测调试器是否激活确定代码是否继续运行。

. 其他反跟踪技术。如指令流队列法和逆指令流法等。

更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5