计算机病毒或蠕虫的确切含义是什么?它们和特洛伊木马之间有哪些不同之处?防病毒应用程序是仅对蠕虫和特洛伊木马有效,还是仅对病毒有效?
恶意软件的特征:防护机制
防护机制
许多恶意软件示例使用某种类型的防护机制,来降低被发现和删除的可能性。以下列表提供了一些已被使用的技术的示例:
• 装甲。这种类型的防护机制使用某种试图防止对恶意代码进行分析的技术。这种技术包括检测调试程序何时运行并试图阻止恶意代码正常工作,或添加许多无意义的代码,使人很难判断恶意代码的用途。
• 窃取。恶意软件使用此类技术,通过截获信息请求并返回错误数据来隐藏其自身。例如,病毒可能会存储未受感染的启动扇区的图像,并在有人尝试查看受感染的启动扇区时显示此图像。1986 年,最早被人们知道的计算机病毒(称为"Brain")便使用了这种技术。
• 加密。使用此防护机制的恶意软件加密其自身或负载(有时甚至加密其他系统数据),以防止检测或数据检索。加密的恶意软件包含静态的解密例程、加密密钥和加密的恶意代码(其中包含加密例程)。执行时,恶意软件使用解密例程和密钥来解密恶意代码。然后,恶意软件创建其代码的副本,并生成新的加密密钥。它使用该密钥及其加密例程来加密自身的新副本,然后使用解密例程添加新的密钥来启动新副本。与多态病毒不同,加密恶意软件总是使用相同的解密例程,因此尽管密钥值(以及加密的恶意代码签名)通常在不同的感染之间进行更改,但防病毒软件也可以搜索静态的解密例程,来检测出使用此防护机制的恶意软件。
• 寡态。显示此特征的恶意软件使用加密防护机制进行自身防护,并且可以将加密例程更改为只能使用固定的次数(通常数目很小)。例如,可生成两个不同解密例程的病毒将被划分到寡态。
• 多态。这种类型的恶意软件使用加密防护机制更改其自身,以免被检测出来,它通常采用如下方式:使用加密例程加密恶意软件自身,然后为每个变形提供不同的解密密钥。因此,多态恶意软件使用不限数量的加密例程来防止自身被检测出来。恶意软件复制时,解密代码中的一部分将被修改。根据特定的恶意代码,所执行的负载或其他操作可能使用加密,也可能不使用加密。通常情况下有一个变形引擎,它是生成随机加密例程的加密恶意软件的自包含组件。此引擎和恶意软件都将被加密,并且新的解密密钥会同它们一起传送。
网友评论