发信人: jia()
整理人: emil(1999-08-11 22:05:04), 站内信件
|
寄信人: Worm (张无忌)
标 题: 计算机病毒采用的新技术
发信站: 华南理工大学 BBS木棉站(WWW投稿)
日 期: Sat Jun 20 10:55:10 1998
目前,计算机病毒对信息安全提出了巨大的挑战。特别是近一、二年,计算机病毒
采用的技术越来越高明,并朝着更好地对抗反病毒软件,更好地隐蔽自身的方向发展。
下面将结合具体例子来说明病毒采用的一些新技术。
(1) 对抗特征码技术
在病毒发展的早期,特征码技术在对抗病毒方面发挥了巨大的作用。但现在变形技术
已经被病毒广泛采用,Ghost / One-Half 病毒与Casper 病毒可将自身变化千亿种,而
Natas病毒可有无穷种变化。在这些病毒面前,单纯的特征码技术已完全失去作用。
(2) 对抗覆盖法技术
覆盖法杀毒是用正确的数据覆盖被病毒改写的数据达到杀毒的目的。在对付引导型病
毒时这种方法有很好的效果。但现在如果没有认真分析病毒便使用这种方法是非常危险
的。如Ghost / One-Half 病毒与Monkey
病毒,前者加密硬盘,并将加密的柱面号放入硬盘的主引导扇区中;后者?密硬盘的分区
表。若直接采用覆盖法杀这两种病毒时,将导致硬盘数据丢失或硬盘不能启动。还有
DIRII病毒,由于它感染文件时将修改文件的首簇号,所以如果用干净的文件去覆盖有毒
的文件后将会发现磁盘上所?
文件的内容都一样。这便是病毒“我死你也活不成”的伎俩,它使覆盖杀毒法大伤脑筋
(3) 对抗驻留式软件技术
Central Point 公司的驻留式软件VSafe 在防止病毒感染、破坏等方面起到了一定的
作用。但近年来如DieHard / SW2 等许多病毒采用获取中断21H、13H底层入口的方法绕
过内存中的VSafe 软件,使其完全失去作用。结果病毒在大肆感染文件、破坏系统时
VSafe
象哑巴一样缄口不语。
(4) 对抗常规查毒技术
反病毒软件用检查中断向量表、文件长度、文件时间与日期等参数来发现计算机病毒
的方法已不再有效。如96年发现的Traitor 病毒采用压缩技术来保证它在感染一个文件
后使该文件的长度绝对不变。
(5) 其它技术
近年来出现了一些所谓的“病毒生产机”软件,使新病毒的制造非常容易,新病毒的数
量大大增加;宏病毒的出现不但改变了人们“数据文件不会感染病毒”的传统观念,而
且由于宏病毒编写容易,这将造成新的病毒高峰;Internet的兴起,不但使病毒的传播
大大加快,而且过去已经“消
失”的一些病毒有可能“死灰复燃”;TPVO/3783 病毒的出现使两栖型病毒成为现实,
该病毒既感染DOS下的MZ格式的可执行文件,又感染WINDOWS下的NE格式的可执行文件。
反病毒软件在对抗该病毒时易产生漏查、漏杀现象。
综上所述,为了对抗这些日益发展的新型病毒。反病毒软件必须采用新的技术。目
前较为实用的有如下一些技术:
(1) 特征码过滤技术。
(2) 免疫技术
免疫技术是一种主动式的反病毒技术。它着重于提高文件自身的抵抗力,使文件具有
对抗未知病毒的能力。因而它是一种非常有前途的技术。
可从下面两个方面来实施免疫技术:
? 将病毒采用的变形思想引入免疫模块,以对抗病毒对免疫模块的攻击。
? 在源程序一级进行免疫,由反病毒软件提供可嵌入被免疫程序的源程序或库单元。
(3) 自身加密的开放式反病毒数据库技术。
(4) 建立“以防为主,防杀结合”的反病毒体系。
※来源: 华南木棉站 bbs.gznet.edu.cn [From:202.117.36.19]
--
※ 来源:.广州网易 BBS bbs.nease.net.[FROM: 202.96.61.236]
|
|