計(jì)算機(jī)病毒常用技術(shù)綜述.ppt

《計(jì)算機(jī)病毒常用技術(shù)綜述.ppt》由會(huì)員分享，可在線閱讀，更多相關(guān)《計(jì)算機(jī)病毒常用技術(shù)綜述.ppt（45頁珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

,計(jì)算機(jī)病毒與反病毒技術(shù),主要內(nèi)容,計(jì)算機(jī)病毒的隱藏技術(shù)計(jì)算機(jī)病毒駐留內(nèi)存技術(shù)計(jì)算機(jī)病毒的變形技術(shù)計(jì)算機(jī)病毒的反跟蹤、反調(diào)試、反分析技術(shù),第8章計(jì)算機(jī)病毒常用技術(shù)綜述,8.1.1引導(dǎo)型病毒的隱藏技術(shù),引導(dǎo)病毒的隱藏方法,8.1計(jì)算機(jī)病毒的隱藏技術(shù),修改INT13H入口地址,修改INT21H功能4BH,8.1.2文件型病毒的隱藏技術(shù),文件型病毒在打開文件的時(shí)候?qū)⑽募膬?nèi)容恢復(fù)到未感染的狀態(tài)，在關(guān)閉文件的時(shí)候重新進(jìn)行感染由于訪問文件的方式、方法非常多，所以實(shí)現(xiàn)完全的文件型病毒隱藏是一件非常困難的事情。一套較完整的隱藏技術(shù)應(yīng)該改包括對(duì)如圖所示幾個(gè)方面的處理,8.1計(jì)算機(jī)病毒的隱藏技術(shù),8.1.3宏病毒的隱藏技術(shù),宏病毒的隱藏技術(shù)比較簡單在Word、Excel等軟件中禁止菜單“文件→模板”或者“工具→宏”通過宏病毒代碼刪除菜單項(xiàng)宏病毒用自己的FileTemplates和ToolsMacro宏替代系統(tǒng)缺省的宏也可以采用5.3節(jié)中討論的隱藏技術(shù),8.1計(jì)算機(jī)病毒的隱藏技術(shù),8.1.4Windows病毒的隱藏技術(shù),以系統(tǒng)服務(wù)程序方式進(jìn)行隱藏?cái)r截枚舉進(jìn)程的API函數(shù)動(dòng)態(tài)嵌入式隱藏,8.1計(jì)算機(jī)病毒的隱藏技術(shù),8.2.1加密解密技術(shù)與病毒的多態(tài)性,多態(tài)病毒的框架多態(tài)病毒是改進(jìn)了的加密病毒，由變化的解密頭和加密的代碼組成。多態(tài)病毒運(yùn)行時(shí)，先執(zhí)行的是解密代碼，對(duì)加密代碼解密，然后執(zhí)行剛解密的代碼，也就是實(shí)現(xiàn)傳播的主體代碼,8.2病毒的加密與多態(tài)(變形)技術(shù),8.2.1加密解密技術(shù)與病毒的多態(tài)性,8.2病毒的加密與多態(tài)(變形)技術(shù),8.2.1加密解密技術(shù)與病毒的多態(tài)性,多態(tài)病毒加密與普通加密的差別每條解密指令都不是固定的，上面的固定代碼實(shí)際上只是一種可能，病毒每次復(fù)制自身的時(shí)候，這些代碼都會(huì)隨機(jī)改變密鑰在復(fù)制自身時(shí)，也要重新生成宏I3、I2使得每條指令占用10個(gè)字節(jié)的空間(之所以選擇10個(gè)字節(jié)，是因?yàn)閹缀跛兄噶?，特別是病毒常用的，都小于10個(gè)字節(jié)，保證了有剩余空間，又不會(huì)造成太大浪費(fèi)，是一種折衷)，在10個(gè)字節(jié)的剩余空間中插入隨機(jī)生成的垃圾代碼，這些垃圾代碼也是隨機(jī)選擇的,8.2病毒的加密與多態(tài)(變形)技術(shù),8.2.1加密解密技術(shù)與病毒的多態(tài)性,8.2病毒的加密與多態(tài)(變形)技術(shù),8.2.2使用改變可執(zhí)行代碼技術(shù)的多態(tài)病毒,由于在運(yùn)行過程中改變機(jī)器語言的指令是非常困難的，所以這種技術(shù)主要使用在宏病毒中。在運(yùn)行過程中，病毒可以隨機(jī)的改變變量名，指令的順序等，但是不影響病毒所實(shí)現(xiàn)的功能一些復(fù)雜的引導(dǎo)型病毒也采用了這種技術(shù)，在引導(dǎo)區(qū)或者分區(qū)表中，包含了一小段代碼來加載實(shí)際的病毒代碼，這段代碼在運(yùn)行的過程中是可以改變的由于動(dòng)態(tài)修改機(jī)器語言代碼的復(fù)雜性，完成在文件型病毒中使用動(dòng)態(tài)代碼修改技術(shù)有相當(dāng)?shù)碾y度，但是已發(fā)現(xiàn)存在病毒使用了這種技術(shù)“厚度”(Ply)病毒在病毒體中隨機(jī)的移動(dòng)指令，然后利用跳轉(zhuǎn)(JMP)或者調(diào)用(CALL)指令使病毒代碼仍然可以實(shí)現(xiàn)原來的功能“TMC”病毒沒有在運(yùn)行過程中改變代碼，但是在感染的時(shí)候，整個(gè)代碼的分段、偏移量和填充代碼的分布都是可以隨機(jī)變化的,8.2病毒的加密與多態(tài)(變形)技術(shù),8.2.3多態(tài)性的級(jí)別,根據(jù)病毒使用多態(tài)技術(shù)的復(fù)雜程度，可以將多態(tài)病毒劃分成以下幾個(gè)級(jí)別：半多態(tài)病毒擁有一組解密算法，感染的時(shí)候從中隨機(jī)的選擇一種算法進(jìn)行加密和感染具有不動(dòng)點(diǎn)的多態(tài)病毒有一條或者幾條語句是不變的，其他病毒指令都是可變的帶有填充物的多態(tài)解密代碼中包含一些沒有實(shí)際用途的代碼來干擾分析者的視線算法固定的多態(tài)解密代碼所使用的算法是固定的，但是實(shí)現(xiàn)這個(gè)算法的指令和指令的次序是可變的,8.2病毒的加密與多態(tài)(變形)技術(shù),8.2.3多態(tài)性的級(jí)別,算法可變的多態(tài)使用了上述所有的技術(shù)，同時(shí)解密的算法也是可以部分或者全部改變的完全多態(tài)算法多態(tài)，同時(shí)病毒體可以隨機(jī)的分布在感染文件的各個(gè)位置，但是在運(yùn)行的時(shí)候能夠進(jìn)行拼裝，并且可以正常工作對(duì)于前面3種多態(tài)病毒，使用病毒特征碼或者改進(jìn)后的病毒特征碼是可以發(fā)現(xiàn)病毒的(所謂改進(jìn)后的特征碼，就是包括一些非比較字節(jié)的特征串)對(duì)于第4種多態(tài)病毒，由于代碼的變化是有限的，所以通過增加多種情況的改進(jìn)后的特征碼，應(yīng)該也可以處理至于第5和第6種多態(tài)病毒，依靠傳統(tǒng)的特征碼技術(shù)是完全無能為力的,8.2病毒的加密與多態(tài)(變形)技術(shù),8.2.3多態(tài)性的級(jí)別,一個(gè)真正意義的多態(tài)應(yīng)該可以創(chuàng)建每次都不同的自解密代碼和不同的加密代碼一個(gè)優(yōu)秀的多態(tài)引擎可以作到：創(chuàng)建不同的解密代碼：產(chǎn)生不同的指令，完成相同的功能；這些指令集可以交換位置在真實(shí)的解密代碼中間創(chuàng)建垃圾指令可移動(dòng)(可以包含在任意程序中)所有的是機(jī)制必須隨機(jī)進(jìn)行解密器大小可變盡量快且小解密器越大越復(fù)雜，效果越好，但也越慢，必須找到一個(gè)平衡點(diǎn),8.2病毒的加密與多態(tài)(變形)技術(shù),8.2.4多態(tài)病毒的原理,最簡單的多態(tài)病毒,8.2病毒的加密與多態(tài)(變形)技術(shù),8.2.4多態(tài)病毒的原理,這段代碼的工作流程是：獲得重定位信息將加密代碼的偏移保存在edi中，將加密代碼的大小保存在ecx中循環(huán)解密每一個(gè)字節(jié)解密完成后，病毒主體開始執(zhí)行，進(jìn)行獲得地址、判斷發(fā)作、感染文件、返回宿主等病毒的常規(guī)工作,8.2病毒的加密與多態(tài)(變形)技術(shù),8.2.4多態(tài)病毒的原理,改變指令順序多態(tài)很重要的一個(gè)工作就是可以交換解密指令位置，僅這個(gè)特性就可以使特征字符串掃描失效上面[1]～[9]可排列的指令具有如下規(guī)則：指令[1]～[3]順序不能改變指令[4]可以在VStart、DecryptLoop之間的任何地方指令[5]必須在指令[3]之后、指令[6]之前指令[6]～[9]順序不能改變根據(jù)這個(gè)原則，可能改變采用的指令序列是:[1][2][3][4][5][6][7][8][9][1][4][2][3][5][6][7][8][9][1][2][4][3][5][6][7][8][9][4][1][2][3][5][6][7][8][9][1][2][3][5][4][6][7][8][9]…,8.2病毒的加密與多態(tài)(變形)技術(shù),8.2.4多態(tài)病毒的原理,改變解密指令把單條指令展開為復(fù)雜的指令集把已知的指令集轉(zhuǎn)換為單條指令,8.2病毒的加密與多態(tài)(變形)技術(shù),8.2.4多態(tài)病毒的原理,把指令變換為相同功能的指令以上指令都做相同的事情，可以隨機(jī)選擇一個(gè)，然后再在空隙中插入垃圾指令來達(dá)到每條指令占用的最大空間。下面以mov指令為例，說明變換的過程,8.2病毒的加密與多態(tài)(變形)技術(shù),8.2.4多態(tài)病毒的原理,8.2病毒的加密與多態(tài)(變形)技術(shù),8.2.4多態(tài)病毒的原理,隨機(jī)數(shù)的生成多態(tài)必須建立在隨機(jī)過程上，避免有規(guī)律可尋,8.2病毒的加密與多態(tài)(變形)技術(shù),8.2.4多態(tài)病毒的原理,垃圾代碼的產(chǎn)生選擇垃圾代碼的原則：不能影響任何寄存器(當(dāng)然，eip是一定要改變的)和標(biāo)志位的狀態(tài)不能修改程序中的任何數(shù)據(jù)總之，不可以干擾程序的正常運(yùn)行可以選擇的垃圾代碼指令單字節(jié)垃圾指令雙字節(jié)垃圾指令三字節(jié)垃圾指令,8.2病毒的加密與多態(tài)(變形)技術(shù),8.2.4多態(tài)病毒的原理,多態(tài)病毒復(fù)制自身時(shí)的特殊性普通病毒復(fù)制自身只要簡單的調(diào)用WriteFile(offsetVStart,VIRUS_SIZE…)多態(tài)病毒的復(fù)制過程要復(fù)雜一些，可以分為3個(gè)步驟：生成并寫入解密代碼每次感染文件的時(shí)候，都要變化解密代碼，這就要先對(duì)解密代碼進(jìn)行一次處理，用相同功能的指令以一定的概率替換原有指令，再以隨機(jī)的垃圾代碼填充空隙后即可寫入到宿主文件生成并寫入密鑰密鑰是要每次重新生成的，動(dòng)態(tài)生成一個(gè)新的密鑰，然后寫入寫入病毒加密部分這部分也是病毒的主體，不能直接寫入，用新密鑰加密后寫入,8.2病毒的加密與多態(tài)(變形)技術(shù),8.2.5多態(tài)病毒的對(duì)抗,對(duì)付多態(tài)病毒的最好辦法是某種形式的虛擬執(zhí)行技術(shù)，也就是仿真出一個(gè)80 x86的CPU，讓解密代碼自己解密完成之后，再使用通常的特征碼識(shí)別法進(jìn)行病毒檢測(cè)針對(duì)這種仿真技術(shù)也出現(xiàn)了一些具有反仿真技術(shù)的病毒例如根據(jù)執(zhí)行所需要的時(shí)間判斷是否處于虛擬機(jī)的監(jiān)視下，在監(jiān)視下和非監(jiān)視下表現(xiàn)出完全不同的行為衡量多態(tài)病毒的難度、復(fù)雜性和檢測(cè)的困難程度可以從下面幾個(gè)方面進(jìn)行：采用算法的復(fù)雜性，是否采用了非公開、非標(biāo)準(zhǔn)的80 x86指令，是否使用了大量的尋址方法和多種類型的指令實(shí)現(xiàn)解密算法是否使用了反仿真(反虛擬執(zhí)行)技術(shù)是否采用了可變的加密/解密算法解密代碼是否具有充分的隨機(jī)性,8.2病毒的加密與多態(tài)(變形)技術(shù),EPO技術(shù)簡介,EPO是EntryPointObscuring技術(shù)的簡寫，意即入口模糊技術(shù)，該技術(shù)改變了傳統(tǒng)的修改PE頭部的入口點(diǎn)、使其指向病毒代碼入口而使病毒代碼得以執(zhí)行的典型方法EPO技術(shù)的產(chǎn)生，源于計(jì)算機(jī)病毒對(duì)抗很多殺毒軟件為了避免耗時(shí)太多只是對(duì)PE入口處的代碼進(jìn)行啟發(fā)式檢查如果只是簡單地修改PE的入口，則很容易被殺毒軟件識(shí)別如果可以把病毒代碼隱藏在PE文件的某個(gè)中間的位置，那么要想找出病毒來勢(shì)必要困難的多,8.3EPO技術(shù)簡介,EPO技術(shù)簡介,最早的EPO并不改變PE頭中入口點(diǎn)的值，相反，它改變了程序入口處的代碼，比如改成JMPVirStart跳轉(zhuǎn)到病毒體執(zhí)行另外一種實(shí)現(xiàn)EPO的方法是在PE文件代碼中的任意指令位置，將其替換成JMPVirStart或CALL或其他轉(zhuǎn)移指令跳轉(zhuǎn)到病毒體去執(zhí)行EPO存在如下缺陷：搜索任意指令的方法有一定的局限被替換的指令可能是廢代碼，也就是說在程序執(zhí)行過程中，幾乎永遠(yuǎn)不會(huì)執(zhí)行到如果因?yàn)樯厦嬖?，?dǎo)致病毒設(shè)計(jì)失敗，導(dǎo)致目標(biāo)程序無法正常執(zhí)行，病毒幾乎無法傳播，而且由于殺死了目標(biāo)程序，不但起不到EPO的作用，反而有可能暴露自己,8.3EPO技術(shù)簡介,8.4.1核心態(tài)與用戶態(tài),操作系統(tǒng)代碼、設(shè)備驅(qū)動(dòng)程序代碼使用特權(quán)級(jí)0(Ring0)，工作于系統(tǒng)核心態(tài)普通的用戶程序使用特權(quán)極3(Ring3)，工作在用戶態(tài),8.4病毒進(jìn)入系統(tǒng)核心態(tài)的方法,Windows2000/XP下普通應(yīng)用程序?qū)诵膽B(tài)功能的調(diào)用示意,8.4.2病毒進(jìn)入系統(tǒng)核心態(tài)的方法,病毒就可以在GDT(全局描述符表)、LDT(局部描述符表)中隨意構(gòu)造門描述符并借此進(jìn)入核心態(tài)通過調(diào)用門(Callgate)、中斷門(INTgate)、陷阱門(Trapgate)、異常門(Fault)、中斷請(qǐng)求(IRQs)、端口(Ports)、虛擬機(jī)管理器(VMM)、回調(diào)(Callback)、形式轉(zhuǎn)換(Thunks)、設(shè)備IO控制(DeviceIOControl)、API函數(shù)(SetThreadContext)、中斷2E服務(wù)(NTKERN.VxD)得到Ring0,8.4病毒進(jìn)入系統(tǒng)核心態(tài)的方法,8.5.1DOS環(huán)境下文件型病毒的內(nèi)存駐留,對(duì)于標(biāo)準(zhǔn)的DOS下TSR可以使用兩種方法實(shí)現(xiàn)駐留通過在CONFIG.SYS中作為設(shè)備驅(qū)動(dòng)程序加載調(diào)用DOS中斷INT21H的31H功能或INT27H病毒不是常規(guī)的TSR程序，病毒通常會(huì)使用更加巧妙的方法駐留內(nèi)存,8.5病毒駐留內(nèi)存技術(shù),病毒常用的內(nèi)存隱身之所,8.5.2引導(dǎo)區(qū)病毒的內(nèi)存駐留,引導(dǎo)區(qū)內(nèi)存駐留程序使用與文件型病毒類似的方法將病毒代碼放入系統(tǒng)內(nèi)存中，由于引導(dǎo)病毒通常都比較小，所以一般減少的內(nèi)存都只有1K或者幾K引導(dǎo)區(qū)內(nèi)存駐留程序往往不包括重入檢測(cè)部分，因?yàn)橐龑?dǎo)區(qū)病毒只會(huì)在系統(tǒng)啟動(dòng)的時(shí)候加載一次,8.5病毒駐留內(nèi)存技術(shù),8.5.3Windows環(huán)境下病毒的內(nèi)存駐留,內(nèi)存分配對(duì)于駐留型病毒，分配駐留所需內(nèi)存是必需的在Win32下，每個(gè)應(yīng)用程序都有自己的線性地址空間，必須使用特殊的函數(shù)分配內(nèi)存內(nèi)存駐留進(jìn)入系統(tǒng)核心態(tài)的病毒可以利用系統(tǒng)服務(wù)來達(dá)到駐留內(nèi)存的目的處于用戶態(tài)的程序要在程序退出后仍駐留部分代碼于內(nèi)存中，似乎是不可能的，因?yàn)闊o論用戶程序分配何種內(nèi)存都將作為進(jìn)程占用資源的一部分，一旦進(jìn)程結(jié)束，所占資源將立即被釋放關(guān)鍵問題是分配一塊進(jìn)程退出后仍可保持的內(nèi)存,8.5病毒駐留內(nèi)存技術(shù),8.5.4宏病毒的內(nèi)存駐留方法,宏病毒是一類特殊的病毒，一旦運(yùn)行Word/Excel，病毒就會(huì)被加載并且一直存在于系統(tǒng)中，所以在某種意義上，宏病毒都是內(nèi)存駐留病毒。宏病毒通常也會(huì)進(jìn)行重入檢測(cè)，發(fā)現(xiàn)一個(gè)文檔中已經(jīng)包含了病毒的特征就不會(huì)再對(duì)這個(gè)文檔進(jìn)行感染，這樣可以防止反復(fù)感染造成文檔不斷增大甚至損壞,8.5病毒駐留內(nèi)存技術(shù),8.6.1DOS病毒截獲系統(tǒng)服務(wù)的方法,在DOS下的所有代碼都可被看作運(yùn)行在核心態(tài)文件型病毒可以通過在中斷向量表中修改INT21H的入口地址來截獲DOS系統(tǒng)服務(wù)(DOS利用INT21H來提供系統(tǒng)調(diào)用，其中包括大量的文件操作)大部分引導(dǎo)區(qū)病毒盜取截流BIOS中斷INT13H(提供磁盤操作服務(wù))從而取得對(duì)磁盤訪問的控制,8.6計(jì)算機(jī)病毒截獲系統(tǒng)操作的方法,8.6.2Windows病毒截獲系統(tǒng)服務(wù)的方法,Windows下的應(yīng)用程序，一般工作在用戶態(tài)，不可能像在DOS下那樣隨心所欲地調(diào)用系統(tǒng)中斷實(shí)現(xiàn)特殊功能Windows下的病毒同樣找到了鉤掛系統(tǒng)服務(wù)的辦法截留文件I/O操作駐留型的病毒通過截留文件I/O來激活自己，可以通過使用VxD服務(wù)IFSMgr_InstallFileSystemAPIHook(如CIH)或截留VxDCall中的DOSServicescallback（如HPS）勾掛API函數(shù),8.6計(jì)算機(jī)病毒截獲系統(tǒng)操作的方法,8.7.1直接API調(diào)用技術(shù),直接API調(diào)用是當(dāng)今Win32病毒常用的手段，它指的是病毒在運(yùn)行時(shí)直接定位API函數(shù)在內(nèi)存中的入口地址然后調(diào)用該API函數(shù)的一種技術(shù)病毒為了避免感染一個(gè)可執(zhí)行文件時(shí)在文件的導(dǎo)入節(jié)中構(gòu)造病毒體代碼中用到的API的鏈接信息，它選擇運(yùn)用自己在運(yùn)行時(shí)直接定位API函數(shù)地址的代碼,8.7計(jì)算機(jī)病毒直接API調(diào)用與異常處理技術(shù),8.7.2異常處理,病毒與眾多設(shè)計(jì)嚴(yán)謹(jǐn)?shù)膶?shí)用系統(tǒng)一樣，也常使用異常處理技術(shù)進(jìn)行隱藏和自我保護(hù)，有時(shí)還有意制造并捕捉異常，以獲取Ring0結(jié)構(gòu)化異常處理(StructuredExceptionHandling，SEH)是Windows操作系統(tǒng)提供給程序設(shè)計(jì)者的強(qiáng)有力的處理程序錯(cuò)誤或異常的武器最終(final)異常處理無論進(jìn)程中哪個(gè)線程發(fā)生了異常，操作系統(tǒng)都將調(diào)用在主線程中調(diào)用SetUnhandledExceptionFilter建立的異常處理函數(shù)，退出時(shí)，無需人為拆去自行安裝的處理代碼，系統(tǒng)將自動(dòng)清除之每線程異常處理異常處理是呈鏈狀的，如果你自己的處理函數(shù)捕捉并處理了這個(gè)異常，那么當(dāng)你的程序發(fā)生了異常時(shí)，操作系統(tǒng)就不會(huì)調(diào)用它缺省的處理函數(shù)，也就不會(huì)出現(xiàn)一個(gè)討厭的執(zhí)行了非法操作的警告,8.7計(jì)算機(jī)病毒直接API調(diào)用與異常處理技術(shù),8.7.2異常處理,異常處理的過程系統(tǒng)按照調(diào)試器、SEH鏈上從新到舊的各個(gè)回調(diào)函數(shù)的順序逐個(gè)調(diào)用，直到存在一個(gè)回調(diào)函數(shù)處理異常為止，如果不存在這樣的回調(diào)函數(shù)，則由系統(tǒng)默認(rèn)的異常處理程序終止發(fā)生異常的程序必須有存在的一個(gè)最基本的觀念SEH只不過是系統(tǒng)在終結(jié)應(yīng)用程序之前給你的一個(gè)最后處理錯(cuò)誤的機(jī)會(huì)，從程序設(shè)計(jì)的角度來說就是給你自己設(shè)計(jì)的一個(gè)回調(diào)函數(shù)執(zhí)行的機(jī)會(huì)。這也給病毒一個(gè)機(jī)會(huì)：利用異常進(jìn)入Ring0，如CIH病毒,8.7計(jì)算機(jī)病毒直接API調(diào)用與異常處理技術(shù),8.8.1防調(diào)試器技術(shù),句柄檢測(cè)用CreateFileA()或_lopen()函數(shù)試圖獲得SoftICE等調(diào)試器的驅(qū)動(dòng)程序的句柄，如果成功，則說明相應(yīng)的調(diào)試器駐留在內(nèi)存中,8.8計(jì)算機(jī)病毒的反調(diào)試、反跟蹤、反分析技術(shù),8.8.1防調(diào)試器技術(shù),利用調(diào)試器后門指令或調(diào)試器自帶的接口函數(shù)進(jìn)行檢測(cè)如SoftICE的后門指令(BackDoorCommands)通過INT03H來進(jìn)行DOS時(shí)代，用后門指令可以獲得SoftICE版本信息、設(shè)置斷點(diǎn)和執(zhí)行命令等,8.8計(jì)算機(jī)病毒的反調(diào)試、反跟蹤、反分析技術(shù),8.8.2反靜態(tài)分析技術(shù)——花指令,好的反匯編軟件，應(yīng)該能夠正確地區(qū)分程序文件中的指令和數(shù)據(jù)。變形病毒所采用的多態(tài)技術(shù)及其他技術(shù)，均能干擾反匯編，達(dá)到反靜態(tài)分析的目的,花指令實(shí)驗(yàn)1,8.8計(jì)算機(jī)病毒的反調(diào)試、反跟蹤、反分析技術(shù),8.8.2反靜態(tài)分析技術(shù)——花指令,反匯編部分結(jié)果,8.8計(jì)算機(jī)病毒的反調(diào)試、反跟蹤、反分析技術(shù),8.8.2反靜態(tài)分析技術(shù)——花指令,花指令實(shí)驗(yàn)2,8.8計(jì)算機(jī)病毒的反調(diào)試、反跟蹤、反分析技術(shù),8.8.2反靜態(tài)分析技術(shù)——花指令,反匯編部分結(jié)果,8.8計(jì)算機(jī)病毒的反調(diào)試、反跟蹤、反分析技術(shù),8.8.3其它技術(shù),反跟蹤、反調(diào)試的其他技術(shù)指令動(dòng)態(tài)執(zhí)行加密技術(shù)反虛擬機(jī)技術(shù)用時(shí)間差反跟蹤用指令預(yù)取技術(shù)反跟蹤,8.8計(jì)算機(jī)病毒的反調(diào)試、反跟蹤、反分析技術(shù),超級(jí)病毒技術(shù),超級(jí)病毒技術(shù)是一種很先進(jìn)的病毒技術(shù)，其主要目的是對(duì)抗計(jì)算機(jī)病毒的預(yù)防技術(shù)超級(jí)病毒技術(shù)就是在計(jì)算機(jī)病毒進(jìn)行感染、破壞時(shí)，使得病毒預(yù)防工具無法獲得運(yùn)行機(jī)會(huì)的病毒技術(shù),8.9超級(jí)病毒技術(shù),