不正なソフトウェアの自己保存テクニック


  Share  
|


私たちは、さまざまな議論と戦うウイルス防御技術を駆使しました。 しかし、ウイルス作者は、私たちの防衛を認識し、積極的に取り組んでいるとは害するしてください。 いくつかの技術を採用することができ、不正なソフトウェアの標本であるかどうかを避けるために検出および除去など、 stealthing 、多型、変成、およびアンチウイルス失活します。 ましょう簡単な自己保存を見て、これらの技術を1つずつします。

stealthing

stealthingを意味してプロセスの存在を隠すマルウェアに感染しています。 原始的なstealthingメソッドが頻繁に使用されているウイルスの仲間を設定するだけでの"隠された"属性のウイルスファイルを少なくすることは、その犠牲者の可能性があるディレクトリのファイルのリストを発見します。 ストリーム仲間ウィルスがより強力なstealthingコンポーネントに取り付けられているときに、ホスト、新しいファイルが作成され、ほとんどのツールは、報告書は、元のファイルのサイズを変更しませんでしたします。 マシンをwindows ntfsファイルシステムを使用して、これらのウイルスは含まれていくつかの代替データストリームに関連付けられた通常のファイルシステム上のです。

別の方法で、ウイルス自体が偽装されることができ傍受してアンチウイルスプログラムのファイルを読み込もうとする、と提示するきれいなバージョンのファイルをスキャナします。 ときには、スキャナーの観点から見ると、感染したファイルは、感染したファイルを提示して健全なイメージをスキャナします。 しかし、別のstealthingシナリオでは、スローダウンするかもしれないウイルスのレートは損害賠償またはファイルに感染して、ユーザーがかかるので、長い時間をかけて何が起こっている実現します。

多型と変成

多型は、悪意のあるコードを修正するプロセスを介して、その外観を実際に変更せずにその根底を阻止する機能を検出します。 用語コードの多様性を示すことを想定していろいろな形で、すべて同じ機能を持つようです。 この方法を使用すると、ウイルスコード自体を動的に変更するたびにそれを実行します。 ウイルスはまだ、同じ目的ではなく、非常に異なるコードベースです。 任意の署名を中心として以前のフォームには、コードを検出されなくなり、新しい、 morphedバージョンがあります。 おそらく最も簡単な方法の1つにこの手法を実装するには、スクリプトベースのウイルスをして、標本の名前を変更して、内部の変数とサブルーチンに感染する前に、新しいホストします。 これらの名前は、典型的にランダムに選ばれた複雑なタスクを作成するための標本署名します。

別の方法を達成するためには多型の順番を変更する手順については、ウイルスの本文に含まれています。 このトリッキーを実装する可能性があるため、標本のニーズを確認していないため、新しい機能のコードを変更します。 ウイルス署名を変更することも彼らのコードを挿入することにより、彼らの指示には何もしていないなど、その後の追加1に引いた値です。 これらの手順を不活性機能を維持できるようにして、元のコードの機能が、いくつかの署名ベースの検出を回避します。

もうひとつのテクニック多形で、大半のウイルスコードを暗号化し、クリアテキストを残すのみに必要な命令を実行時に自動的に復号化自体をメモリにします。 ウイルスは通常、ランダムに生成されるキーを使用する別のボディを暗号化する、どこかでそのコードを埋め込むの鍵と復号化アルゴリズムによって変化して見えるの署名ベースのスキャナを混同します。

変成までのプロセスをさらに一歩前進されて突然変異を繰り返し、標本若干変更して、ウイルスとしての機能を広げています。 これはしばしば微妙なやり方で行われたことを確認し、その効力を失うことなくウイルスevades検出します。 変成ウイルスの構造を頻繁に変更して、さまざまな場所にファイルを暗号化して突然変異を繰り返したルーチンとします。 また、変成岩標本のような能力を持って直喩を動的に逆アセンブルして、コードを変更して、それから組み立てフォーム自体を実行します。

アンチウイルス失活

いずれかの方法で悪質なコードを保護する試みは、その縄張りを無効にするメカニズムは、対象となるコンピュータウィルス保護します。 で、最も顕著な候補者を失活は、アンチウイルスソフトウェアのプロセスに属する感染したシステム上で実行されます。 最も成功したこの手法を採用するウィルスに乗り込むシステムの認識されないかもしれない、そして急いでいるアンチウイルスソフトウェアを無効にする前に検出したり、不正なソフトウェアを取得する前に、ユーザーのデータベースを更新するウイルス署名します。

このprockillトロイの木馬は、 1つの例は、不正なソフトウェアの標本のリストが含まれ200人以上のプロセス名は通常、パーソナルファイアウォールやアンチウイルスプログラムの所属しています。 システムにインストールされた後、 prockill検索結果のリストと、実行中のプロセスを終了してそれらを認識します。 パーソナルファイアウォールやウイルス対策せずに、適切なプロセスを実行するマシン上で、ウイルスは無料の治世に感染すると、システムを変更します。

興味深いの拡張機能によって、この技術を実装しましたmtxウイルス/ワームが広がり、 2000年にします。 感染後のシステムでは、監視ビールス被害者のインターネットへのアクセスを試み、およびドメインへのアクセスがブロックされたようにアンチウイルスソフトのメーカーに属します。 このようなアプローチを防ぎ、ユーザーからのアンチウイルスソフトウェアのインストールを簡単に更新したり、署名から、まだ気の利いた意地の悪い悪人なアプローチをします。 サーフできない場合は、ウイルス署名してデータベースの更新機能では、ことはできませんマルウェアを検出して、新しいボックスをオンにしています。

ウィルスにもいくつかのセキュリティ上の制限を回避しようとするマイクロソフトオフィス課せられたことを検討した。 マイクロソフトオフィスを使うことをお勧めリコール先へのアクセスをブロックしてvbprojectオブジェクトが含まれるコマンドを頻繁に使用される新しい文書に感染するマクロウイルスです。 この制限は、レジストリの設定によって制御され、ウイルスの可能性を操作しています。 許された場合は、ユーザーに感染したドキュメントのマクロを実行すると、ウイルスの可能性次にレジストリの設定を変更した場合は削除してvbprojectオブジェクトへのアクセスを制限します。 この手法を実装しましたしlisti (としても知られkallisti )ウイルスます。

listiが開始され、このコードセグメントの値をチェックして、レジストリキーaccessvbomます。 の場合は、 1に設定され、その後のアクセスをvbprojectではありません限られており、ウイルスに感染して続行することができます。 もしアクセスできるようにvbprojectはブロック( ie 、またはそれ以上の値が未満の1 )は、その後listiを設定するレジストリキーを1に、マイクロソフトの単語を経由してwordbasic.fileexit通話を終了します。 言葉のための変更を再起動する必要があり、 accessvbomキーを有効にします。 次回に感染したドキュメントを開きます。このユーザーは、アクセスできるようにvbprojectとはなりません制限を継続することができ、ウイルスと繁殖します。

thwarting不正なソフトウェアの自己保存テクニック

として見ることができ、そこにはかなりの数の措置を取ることができ、悪質なコードのセキュリティメカニズムを回避しようとしました。 すべてのカウンターを測る尺度がある。これは、独自のカウンター対策などがあります。 を維持する効果があるような環境では、脅威を理解していることを確認し、どのように適用されるお客様の環境では、 1つに頼っているではありません防御層を保護するマルウェアの感染症に反対します。 これらの各技術を自己保存することができ勤勉なアプリケーションの邪魔をしたアンチウイルスソフトウェアは、硬化の設定、およびユーザー教育します。 アンチウイルスソフトウェアのソリューションがますます成長して彼らの知的能力を生き残るための簡単なコードと多型スポット忍びやか失活を試みました。 アンチウイルス署名して保管され、最新のスキャンエンジンは、これらの進歩の恩恵を受けるでしょうします。 また、サウンドのユーザー教育でも、非常に微妙な悪意のあるコードが少なくなる可能性を見つけるその方法をお客様のシステムでは第1位です。

これは、記事を追加したレヴィd.ジョンソン

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions