作者:乔山办公网日期:
返回目录:excel表格制作
病毒隐藏的基本技术
运行时(引导或感染阶段):不暴露自己;
感染时:遇到操作错误不报用户,尽量不以单独的文件存在;
破坏表现时:每次发作只删除或修改几个文件或格式化几个磁道、扇区等。
总之,被感染的文件或系统都尽可能地保持正常,从而使用户疏忽。
引导型病毒的隐藏
两种基本方法:
一是改变BIOS中断INT 13H的入口地址,使其指向病毒代码之后,发现调用INT 13H读取被感染扇区时,将原来没有被感染的内容返回给调用程序。
二是病毒在加载程序时制造假相,当系统启动任何程序时,病毒修改DOS执行程序的中断,先把被病毒感染的扇区恢复原样,即使反病毒软件采用直接访问磁盘的方法也察觉不到病毒的存在,当程序执行完后再重新感染。
对付方法:在病毒检测之前先清除内存中的所有病毒。
文件型病毒的隐藏
除与引导型病毒相类似的方法外,还要考虑其他方面。完整的隐藏技术应包括以下几方面的处理:
系统列目录时显示感染前的文件大小;
读写文件看到正常的文件内容;
执行或搜索时隐藏病毒。
Windows病毒的隐藏
修改文件时间、大小
在文件空隙中插入病毒片断
以系统服务程序方式隐藏进程
拦截枚举进程的API函数
宏病毒的隐藏
宏病毒的隐藏技术比较简单
在Word、Excel等软件中禁止菜单“文件→模板”或者“工具→宏”
通过宏病毒代码删除菜单项
宏病毒用自己的FileTemplates和ToolsMacro宏替代系统缺省的宏
脚本病毒的隐藏
将欺骗技术和心理学结合起来
充分利用人们的好奇心,诱骗人们激活病毒,从而实现自己传播的愿望。
从这个意义上讲,脚本病毒已将欺骗技术作为自己的立身之本。