freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

病毒的發(fā)展與技術(shù)-計(jì)算機(jī)病毒的發(fā)展過(guò)程-閱讀頁(yè)

2025-02-02 21:09本頁(yè)面
  

【正文】 (( 2023年年 12月統(tǒng)計(jì)數(shù)據(jù))月統(tǒng)計(jì)數(shù)據(jù))n powerpoint 病毒病毒 100多種多種n Script腳本病毒腳本病毒 500多種多種 n macintos蘋(píng)果機(jī)病毒蘋(píng)果機(jī)病毒 50種種 n linux 病毒病毒 5種種 n 手機(jī)病毒手機(jī)病毒 2種種 合計(jì)合計(jì) 550000多種多種病毒所采用的技術(shù)病毒所采用的技術(shù)n 花指令花指令n 防止靜態(tài)反匯編防止靜態(tài)反匯編n 簡(jiǎn)單自加密簡(jiǎn)單自加密n 對(duì)抗特征值查毒法對(duì)抗特征值查毒法n 多態(tài)多態(tài)n poly一般就是用一般就是用 random key加密相同的加密相同的 vir主體代碼主體代碼 ,解碼部分是變化的解碼部分是變化的 ,存儲(chǔ)在磁盤(pán)存儲(chǔ)在磁盤(pán)上的代碼因此是各不相同,上的代碼因此是各不相同, AVER因而就無(wú)法簡(jiǎn)單地根據(jù)特征值掃描因而就無(wú)法簡(jiǎn)單地根據(jù)特征值掃描 .n 變形(變態(tài))變形(變態(tài))n 每傳染一次加密算法變化,原病毒體也發(fā)生變化每傳染一次加密算法變化,原病毒體也發(fā)生變化n meta就更深入一步就更深入一步 ,使每次使每次 infect后的代碼主體都不相同后的代碼主體都不相同 ,這樣顯然使查殺的難度增這樣顯然使查殺的難度增加加 .效果比效果比 poly好好 .一個(gè)通俗的比喻一個(gè)通俗的比喻 poly就是象給相同的芯加了不同的外殼就是象給相同的芯加了不同的外殼 ,從外表看來(lái)是從外表看來(lái)是不一樣不一樣 ,但是芯的內(nèi)容并沒(méi)有變化但是芯的內(nèi)容并沒(méi)有變化 ,只要擊破外殼里面都是一樣的只要擊破外殼里面都是一樣的 ,但但meta是使整體發(fā)生變化是使整體發(fā)生變化 ,沒(méi)有完全相同的芯或外殼沒(méi)有完全相同的芯或外殼 .當(dāng)今的幾種典型反病毒技術(shù)當(dāng)今的幾種典型反病毒技術(shù) n 特征值技術(shù)特征值技術(shù)n 虛擬機(jī)技術(shù)虛擬機(jī)技術(shù)n 啟發(fā)式掃描技術(shù)啟發(fā)式掃描技術(shù)n 計(jì)算機(jī)病毒疫苗計(jì)算機(jī)病毒疫苗編寫(xiě)編寫(xiě) Win32病毒的幾個(gè)關(guān)鍵病毒的幾個(gè)關(guān)鍵n Api函數(shù)的獲取函數(shù)的獲取n 不能直接引用動(dòng)態(tài)鏈接庫(kù)不能直接引用動(dòng)態(tài)鏈接庫(kù)n 需要自己尋找需要自己尋找 api函數(shù)的地址,然后直接調(diào)用該地址函數(shù)的地址,然后直接調(diào)用該地址n 一點(diǎn)背景一點(diǎn)背景 :在在 PE Loader裝入我們的程序啟動(dòng)后堆棧裝入我們的程序啟動(dòng)后堆棧頂?shù)牡刂肥鞘浅绦虻姆祷氐刂讽數(shù)牡刂肥鞘浅绦虻姆祷氐刂?,肯定在肯定在 Kernel中中 ! 因因此我們可以得到這個(gè)地址此我們可以得到這個(gè)地址 ,然后向低地址縮減驗(yàn)證一然后向低地址縮減驗(yàn)證一直到找到模塊的起始地址直到找到模塊的起始地址 ,驗(yàn)證條件為驗(yàn)證條件為 PE頭不能大于頭不能大于4096bytes,PE header的的 ImageBase值應(yīng)該和當(dāng)前指值應(yīng)該和當(dāng)前指針相等針相等 .n 病毒沒(méi)有病毒沒(méi)有 .data段,變量和數(shù)據(jù)全部放在段,變量和數(shù)據(jù)全部放在 .code段段 編寫(xiě)編寫(xiě) Win32病毒的幾個(gè)關(guān)鍵病毒的幾個(gè)關(guān)鍵n 偏移地址的重定位偏移地址的重定位 Call deltadelta: pop ebp sub ebp,offset delta那么變量那么變量 var1的真正偏移地址為:的真正偏移地址為: var1+ebpn 對(duì)對(duì) PE文件格式的了解文件格式的了解PE文件格式一覽文件格式一覽DOS MZ headerDOS stubPE headerSection tableSection 1Section 2Section ...Section nPE)。件。字節(jié)中。比如節(jié)數(shù)目、文件執(zhí)行機(jī)器等。的簡(jiǎn)稱(chēng)。 Machine WORD ? TimeDateStamp dd ? NumberOfSymbols dd ? Characteristics WORD ? IMAGE_FILE_HEADER ENDS映像文件頭的基本信息映像文件頭的基本信息順序順序 名字名字 大小大?。ㄗ止?jié)(字節(jié)))描述描述1 Machine * 2 機(jī)器類(lèi)型,機(jī)器類(lèi)型, x86為為 14ch2 NumberOfSection ** 2 文件中節(jié)的個(gè)數(shù)文件中節(jié)的個(gè)數(shù)3 TimeDataStamp 4 生成該文件的時(shí)間生成該文件的時(shí)間4 PointerToSymbleTable 4 COFF符號(hào)表的偏移符號(hào)表的偏移5 NumberOfSymbols 4 符號(hào)數(shù)目符號(hào)數(shù)目6 SizeOfOptionalHeader 2 可選頭的大小可選頭的大小7 Characteristics * 2 關(guān)于文件信息的標(biāo)記,比如關(guān)于文件信息的標(biāo)記,比如文件是文件是 exe還是還是 dll可選映像頭可選映像頭n optional header 結(jié)構(gòu)是結(jié)構(gòu)是 IMAGE_NT_HEADERS 中的最中的最后成員。包含了 PE文件的邏輯分布信息。該結(jié)構(gòu)共有 31個(gè)個(gè)域,一些是很關(guān)鍵,另一些不太常用。這里只介紹那些真正有用的域。n 這兒有個(gè)關(guān)于這兒有個(gè)關(guān)于 PE文件格式的常用術(shù)語(yǔ)文件格式的常用術(shù)語(yǔ) : RVA RVA 代表相對(duì)虛擬地址。 它是相它是相 對(duì)對(duì) 虛虛 擬擬 空空 間間 里的一個(gè)地里的一個(gè)地址址 。每個(gè)。的。若要改。行。比如,如果地址。若。地址。的粒度。的粒度。若版本。立體感。映像體的尺寸??梢砸源说某叽?。的文件偏移量。DataDirectory 一一 IMAGE_DATA_DIRECTORY 結(jié)結(jié) 構(gòu)數(shù)構(gòu)數(shù)組組 。每個(gè) 結(jié)結(jié) 構(gòu)構(gòu) 給給 出一個(gè)重要數(shù)據(jù)出一個(gè)重要數(shù)據(jù) 結(jié)結(jié) 構(gòu)的構(gòu)的 RVA,比如引入地址表等。DataDirectory數(shù)據(jù)目錄數(shù)據(jù)目錄n 一個(gè)一個(gè) IMAGE_DATA_DIRECTORY數(shù)組,里面放數(shù)組,里面放的是這個(gè)可執(zhí)行文件的一些重要部分的的是這個(gè)可執(zhí)行文件的一些重要部分的 RVA和和尺寸,目的是使可執(zhí)行文件的裝入更快,數(shù)組尺寸,目的是使可執(zhí)行文件的裝入更快,數(shù)組的項(xiàng)數(shù)由上一個(gè)域給出。IMAGE_DATA_DIRECTORY包含有兩個(gè)域,如包含有兩個(gè)域,如下:下: IMAGE_DATA_DIRECTORY VitualAddress DD? Size DD? IMAGE_DATA_DIRECTORY ENDS節(jié)表節(jié)表n 節(jié)表其實(shí)就是緊挨著節(jié)表其實(shí)就是緊挨著 PE header 的一結(jié)的一結(jié)構(gòu)數(shù)組。該數(shù)組成員的數(shù)目由 file header (IMAGE_FILE_HEADER) 結(jié)構(gòu)結(jié)構(gòu)中中 NumberOfSections 域的域值來(lái)決域的域值來(lái)決定。節(jié)表結(jié)構(gòu)又命名為 IMAGE_SECTION_HEADER。地址、長(zhǎng)度、屬性等。存中的真正地址。義。比較常見(jiàn)的有:。的可執(zhí)行代碼。如:用映入函數(shù)之用。如已確定的數(shù)據(jù)。未初始化的數(shù)據(jù)節(jié)未初始化的數(shù)據(jù)節(jié)n 這個(gè)節(jié)的名稱(chēng)一般叫這個(gè)節(jié)的名稱(chēng)一般叫 .bbs。變量。的資源。目錄或數(shù)據(jù)。結(jié)構(gòu)如下:結(jié)構(gòu)。也叫引入表。等。這個(gè)數(shù)組??梢砸源伺袛鄶?shù)組的結(jié)束
點(diǎn)擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖鄂ICP備17016276號(hào)-1