发信人: jia()
整理人: emil(1999-08-11 22:05:04), 站内信件
|
寄信人: Worm (张无忌) 标 题: 计算机病毒采用的新技术 发信站: 华南理工大学 BBS木棉站(WWW投稿) 日 期: Sat Jun 20 10:55:10 1998
目前,计算机病毒对信息安全提出了巨大的挑战。特别是近一、二年,计算机病毒 采用的技术越来越高明,并朝着更好地对抗反病毒软件,更好地隐蔽自身的方向发展。 下面将结合具体例子来说明病毒采用的一些新技术。
(1) 对抗特征码技术 在病毒发展的早期,特征码技术在对抗病毒方面发挥了巨大的作用。但现在变形技术 已经被病毒广泛采用,Ghost / One-Half 病毒与Casper 病毒可将自身变化千亿种,而 Natas病毒可有无穷种变化。在这些病毒面前,单纯的特征码技术已完全失去作用。 (2) 对抗覆盖法技术 覆盖法杀毒是用正确的数据覆盖被病毒改写的数据达到杀毒的目的。在对付引导型病 毒时这种方法有很好的效果。但现在如果没有认真分析病毒便使用这种方法是非常危险 的。如Ghost / One-Half 病毒与Monkey 病毒,前者加密硬盘,并将加密的柱面号放入硬盘的主引导扇区中;后者?密硬盘的分区 表。若直接采用覆盖法杀这两种病毒时,将导致硬盘数据丢失或硬盘不能启动。还有 DIRII病毒,由于它感染文件时将修改文件的首簇号,所以如果用干净的文件去覆盖有毒 的文件后将会发现磁盘上所? 文件的内容都一样。这便是病毒“我死你也活不成”的伎俩,它使覆盖杀毒法大伤脑筋
(3) 对抗驻留式软件技术 Central Point 公司的驻留式软件VSafe 在防止病毒感染、破坏等方面起到了一定的 作用。但近年来如DieHard / SW2 等许多病毒采用获取中断21H、13H底层入口的方法绕 过内存中的VSafe 软件,使其完全失去作用。结果病毒在大肆感染文件、破坏系统时 VSafe 象哑巴一样缄口不语。 (4) 对抗常规查毒技术 反病毒软件用检查中断向量表、文件长度、文件时间与日期等参数来发现计算机病毒 的方法已不再有效。如96年发现的Traitor 病毒采用压缩技术来保证它在感染一个文件 后使该文件的长度绝对不变。 (5) 其它技术 近年来出现了一些所谓的“病毒生产机”软件,使新病毒的制造非常容易,新病毒的数 量大大增加;宏病毒的出现不但改变了人们“数据文件不会感染病毒”的传统观念,而 且由于宏病毒编写容易,这将造成新的病毒高峰;Internet的兴起,不但使病毒的传播 大大加快,而且过去已经“消 失”的一些病毒有可能“死灰复燃”;TPVO/3783 病毒的出现使两栖型病毒成为现实, 该病毒既感染DOS下的MZ格式的可执行文件,又感染WINDOWS下的NE格式的可执行文件。 反病毒软件在对抗该病毒时易产生漏查、漏杀现象。 综上所述,为了对抗这些日益发展的新型病毒。反病毒软件必须采用新的技术。目 前较为实用的有如下一些技术: (1) 特征码过滤技术。 (2) 免疫技术 免疫技术是一种主动式的反病毒技术。它着重于提高文件自身的抵抗力,使文件具有 对抗未知病毒的能力。因而它是一种非常有前途的技术。 可从下面两个方面来实施免疫技术: ? 将病毒采用的变形思想引入免疫模块,以对抗病毒对免疫模块的攻击。 ? 在源程序一级进行免疫,由反病毒软件提供可嵌入被免疫程序的源程序或库单元。 (3) 自身加密的开放式反病毒数据库技术。 (4) 建立“以防为主,防杀结合”的反病毒体系。
※来源: 华南木棉站 bbs.gznet.edu.cn [From:202.117.36.19]
-- ※ 来源:.广州网易 BBS bbs.nease.net.[FROM: 202.96.61.236]
|
|