20CN网络安全小组论坛 - 病毒专区

论坛: 病毒专区标题: 病毒的基础-1

作者: becks11 [becks11]

论坛用户

变形病毒的基本类型

病毒都具有一定的基本特征，这些基本特征主要指的是病毒的传染性、繁殖性、破坏性、恶作剧等表现，这是普通病毒所具备的基本特征。

过去，一些教科书里对病毒的基本定义简单的说是“具有传染性质的一组代码，可称为‘病毒’”。即病毒从一个文件传染到另一个文件上，许多文件会染毒。引导区病毒从一个磁盘传染到另一个磁盘上。

而在互联网时代，病毒会在互联网上通过一台机器自动传播到另一台机器上，一台机器中只要有一个蠕虫病毒，当然，也有的蠕虫可以在当前机器中感染大量的文件。现在应发展一下对病毒的基本定义，即对病毒的基本定义简单的说是“具有传播性质的一组代码，可称为‘病毒’”。

病毒的这些基本特征不能用来决定病毒是属于第几代的。能用变化自身代码和形状来对抗反病毒手段的变形病毒才是下一代病毒首要的基本特征。我们通过多年的反病毒研究，对变形病毒作了以下的定义：

变形病毒的特征主要是病毒传播到目标后，病毒自身代码和结构在空间上、时间上具有不同的变化。以下我们将变形病毒简要划分为四类。

第一类变形病毒的特性是：具备普通病毒所具有的基本特性，然而，病毒每传播到一个目标后，其自身代码与前一目标中的病毒代码几乎没有三个连续的字节是相同的，但这些代码其相对空间的排列位置是不变动的, 这里称为：一维变形病毒。

在一维变形病毒中,个别的病毒感染系统后，遇到检测时能够进行自我加密或脱密，或自我消失。有的列目录时能消失增加的字节数，或加载跟踪时，病毒能破坏跟踪或者逃之夭夭。

第二类变形病毒的特性是：除了具备一维变形病毒的特性外，那些变化的代码相互间的排列距离(相对空间位置)也是变化的，这里称为：二维变形病毒。

在二维变形病毒中，有如前面提到的MADE-SP病毒等，能用某种不动声色特殊的方式或混杂于正常的系统命令中去修改系统关键内核，并与之融为一体，或干脆另创建一些新的中断调用功能。有的感染文件的字节数不定，或与文件融为一体。

第三类变形病毒的特性是：具备二维变形病毒的特性，并且能分裂后分别潜藏在几处，当病毒引擎被激发后自我恢复成一个完整的病毒。病毒在附着体上的空间位置是变化的，即潜藏的位置不定。比如：可能一部分藏在第一台机器硬盘的主引导区，另外几部分也可能潜藏在几个文件中，也可能潜藏在覆盖文件中，也可能潜藏在系统引导区、也可能另开垦一块区域潜藏……等等。而在下一台被感染的机器内，病毒又改变了其潜藏位置。这里称为：三维变形病毒。

第四类变形病毒的特性是：具备三维变形病毒的特性，并且这些特性随时间动态变化。比如，在染毒的机器中，刚开机时病毒在内存里变化为一个样子，一段时间后又变成了另一个样子，再次开机后病毒在内存里又是一个不同的样子。还有的是这样一类病毒，其本身就是具有传播性质的“病毒生产机”病毒，它们会在计算机内或通过网络传播时，将自己重新组合代码生成与前一个有些代码不同的变种新病毒，这里称为：四维变形病毒。

四维变形病毒大部分具备网络自动传播功能，在网络的不同角落里到处隐藏。

还有一些这类高级病毒不再持有以往绝大多数病毒那种“恶作剧”的目的，它可能主要是人类在信息社会投入巨资研究出的、可扰乱破坏社会的信息、政治、经济秩序等、或是主宰战争目的的一种“信息战略武器”病毒。它们有可能接受机外遥控信息，也可以向外发出信息。比如在多媒体机上可通过视频、音频、无线电或互联网收发信息。也可以通过计算机的辐射波，向外发出信息。也可以潜藏在联接Internet网的计算机中，收集密码和重要信息，再悄悄地随着主人通信时，将重要信息发出去（I-WORM/MAGISTR（马吉思）病毒就有此功能），这些变形病毒的智能化程度相当高。

以上，我们把变形病毒划分定义为一维变形病毒、二维变形病毒、三维变形病毒、四维变形病毒。这样，可使我们站在一定的高度上对变形病毒有一个较清楚的认识，以便今后针对其采取强而有效的措施进行诊治。这四类变形病毒可以说是病毒发展的趋向，也就是说：病毒主要朝着能对抗反病毒手段和有目的的方向发展。

地主发表时间: 04/05 10:33

回复: xiaojun [xiaojun]

剑客

行。

B1层发表时间: 04/05 23:14