反病毒引擎设计

• 
  
  由于加密病毒还没有能够完全逃脱静态特征码扫描，所以病毒写作者在加密病毒的基础之上进行改进，使解密子的代码对不同传染实例呈现出多样性，这就出现了加密变形病毒。它和加密病毒非常类似，唯一的改进在于病毒主体在感染不同文件会构造出一个功能相同但代码不同的解密子，也就是不同传染实例的解密子具有相同的解密功能但代码却截然不同。比如原本一条指令完全可以拆成几条来完成，中间可能会被插入无用的垃圾代码。这样，由于无法找到不变的特征码，静态扫描技术就彻底失效了。下面先举两个例子说明加密变形病毒解密子构造，然后再讨论怎样用虚拟执行技术检测加密变形病毒。
  
  著名多形病毒Marburg的变形解密子：
  
   00401020: movsx edi,si ；病毒入口
   00401023: movsx edx,bp
   00401026: jmp 00408a99
   ......
   00407400: ；病毒体入口
   加密的病毒主体
   00408a94: ；解密指针初始值
   ......
   00408a99: mov dl,f7
   00408a9b: movsx edx,bx
   00408a9e: mov ecx,cf4b9b4f
   00408aa3: call 00408ac4
   ......
   00408ac4: pop ebx
   00408ac5: jmp 00408ade
   ......
   00408ade: mov cx,di
   00408ae1: add ebx,9fdbd22d
   00408ae7: jmp 00408b08
   ......
   00408b08: add ecx,80c1fbc1
   00408b0e: mov ebp,7fcdeff3 ；循环解密记数器初值
   00408b13: sub cl,39
   00408b16: movsx esi,si
   00408b19: add dword ptr[ebx+60242dbf],9ef42073 ；解密语句，9ef42073是密钥
   00408b23: mov edx,6fd1d4cf
   00408b28: mov di,dx
   00408b2b: inc ebp
   00408b2c: xor dl,a3
   00408b2f: mov cx,si
   00408b32: sub ebx,00000004 ；移动解密偏移指针，逆向解密
   00408b38: mov ecx,86425df9
   00408b3d: cmp ebp,7fcdf599 ；判断解密结束与否
   00408b43: jnz 00408b16
   00408b49: jmp 00408b62
   ......
   00408b62: mov di,bp
   00408b65: jmp 00407400 ；将控制权交给解密后的病毒体入口
   著名多形病毒Hps的变形解密子：
  
   005365b8: ；解密指针初始值和病毒体入口
   加密的病毒主体
   ......
   005379cd: call 005379e2
   ......
   005379e2: pop ebx
   005379e3: sub ebx,0000141a ；设置解密指针初值
   005379e9: ret
   ......
  
• 上一页 [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 反病毒引擎设计 相关文章：
• ·反病毒引擎设计
• ·候捷谈Java反射机制
• ·反病毒引擎设计全解
• ·正反两极端 细看微软Vista十大得失
• ·ASP.NET默认的上传组件支持进度条反映
• ·常见电子书格式及其反编译思路
• ·开机找不到硬盘，进入BIOS将IDE口设为"AUTO"状态，反复按回车键，过几分钟后，才能找到硬盘并正常使用
• ·反病毒知识：如何让你的移动硬盘在DOS下杀毒
• ·强力反驳：子虚乌有的Windows Vista二十宗罪
• ·什么时候oracle使用绑定变量性能反而更差
• 反病毒引擎设计 相关软件
• ·《反恐精英CS1.6》完整安装版本
• ·反P2P终结者
• ·反恐精英 CS 1.5 机器人补丁
• ·反恐精英CS龙珠中文硬盘版
• ·近距离作战4阿登反击战
• ·《反恐精英CS 1.5》免CD-KEY版
• ·1941反击战(1941 - Counter Attack)
• ·薛刚反唐
• ·反恐精英之起源(CS2.0)
• ·反时间限制器 Anti-Timer V1.0 绿色版

上一篇:冲击波(MSBlast)蠕虫分析报告

下一篇:蜜罐技术:消除防火墙局限和脆弱

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐