第十四章 恶意代码防范技术原理
恶意代码概述
-
恶意代码概念与分类
-
定义:
- Malicious Code,一种违背目标系统安全策略的程序代码,会造成目标系统信息泄露、资源滥用,破环系统的完整性及可用性
- 它能够经过存储介质或网络进行传播,从一台计算机传到另外一台计算机系统,未经授权认证访问或破坏计算机系统
-
分类:
-
-
恶意代码攻击模型
-
六个步骤:侵入系统、维持或提升已有的权限、隐蔽、潜伏、破坏、重复前五步骤
-
-
恶意代码生存技术
- 反跟踪技术:提高自身伪装能力和防破译能力
- 反动态跟踪技术
- 禁止跟踪中断
- 检测跟踪法
- 其他反跟踪技术
- 反静态分析技术
- 对程序代码分块加密执行:力求分析者在任何时候都无法从内存中拿到完整代码
- 伪指令法:类似于代码混淆
- 例子–Apparition
- 反动态跟踪技术
- 加密技术
- 信息加密、数据加密、程序代码加密
- 例子—“中国炸弹”,“幽灵病毒”,“Cascade”
- 模糊变换技术
- 指令替换技术
- 指令压缩技术:对可压缩的指令同义压缩
- 指令扩展技术
- 伪指令技术
- 重编译技术:例子—宏病毒和脚本恶意代码
- 自动生产技术
- 利用“多态性发生器”编译成具有多态性的病毒
- 例子----保加利亚的“Dark Avenger”
- 变形技术:变换恶意代码特征码的技术
- 重汇编技术:例子—Regswap
- 压缩技术
- 膨胀技术:压缩的逆变换
- 伪指令技术
- 重编译技术
- 三线程技术
- 原理:一个恶意代码进程同事开启三个线程,一个负责远程控制工作主线程,其他两个检查恶意代码是否正常运行
- 例子—“中国黑客”
- 进程注入技术
- 恶意代码将自身嵌入到操作系统开机启动服务相关进程中
- 反跟踪技术:提高自身伪装能力和防破译能力