多形型病毒是這樣的病毒:它產生了與它自身不同的,但是操作可用的拷貝,其目的是希望病毒掃描程序將不能檢測到所有的病毒的情況。 壹個不被掃描病毒檢測程序發現的方法就是使用可變的加密鑰匙進行自我加密,有壹些病毒(例如:Cascade)不是“多形態的”,因為它們的解密代碼總是相同的。 因此在簡單的字符-驅動病毒掃描程序中可以將解Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'>密碼作為壹個掃描字符串。 制造多形態病毒的技術是選擇變化的不同的加密術,要求相應匹配的不同的解碼程序,在這些程序中有唯壹的壹個程序可以在所有的病毒事例中清楚的發現。(例如:Whale病毒)。壹個會掃描字符串-驅動的病毒掃描程序將不得不使用幾個掃描字符串來有效的鑒別這類病毒。更復雜的多形性病毒(例如:v2p6)他們通過交換互相獨立的命令或者在變量中改變指令的順序設置解碼指令和“噪音”指令(例如不運行指令或者把任意的值裝載到當前未使用的登記指令裏) 或者產生相同效果的操作(如:A-A MOV0A),壹系列的病毒掃描程序將不能令人信賴地識別全部這種的病毒的變化性;在深入徹底的研究了這種病毒之後,壹個更著名的“掃描引擎”被創造出來。迄今為止最狡猾的的多形態病毒的形式是“Mutation Engine” (MtE), 以目標模塊的形式來開始的。 壹類的病毒能夠成功的變形,通過增加幾個特定的調用匯編程序源代碼並且鏈接到變化的任意的中斷模塊。多形態病毒的出現說明病毒-掃描將更加困難,而且也需更加努力;把幾個掃描引擎簡單疊加的掃描程序並不能恰當的處理這些病毒。
上一篇:解析xml文件的幾種技術下一篇:為什麽需要用 GIT SHA 管理 Crash-Harries Blog64