恶意软件反检测技术简介（下）

核心提示： perform_encryption_decryption: mov bx,0 mov si,0960 mov cx,0960mov dl,b[si] xor b[bx],dl inc si inc bx cmp si,09a0 jb 0a61 ;masm mod. needed mov

perform_encryption_decryption:
　 mov bx,0
　 mov si,0960
　 mov cx,0960
　mov dl,b[si]
　 xor b[bx],dl
　 inc si
　 inc bx
　 cmp si,09a0
　 jb 0a61　　　　　　 ;masm mod. needed
　 mov si,0960
　 loop 0a52　　　　　 ;masm mod. needed
　 ret
the_file_decrypting_routine:
　 push cs
　 pop ds
　 mov bx,4
　 mov si,0964
　 mov cx,0960
　 mov dl,b[si]
　 add b[bx],dl
　 inc si
　 inc bx
　 cmp si,09a4
　 jb 0a7e　　　　　　 ;masm mod. needed
　 mov si,0964
　 loop 0a6f　　　　　 ;masm mod. needed
　 jmp 0390　　　　　　;masm mod. needed

人们正在研究可用于将来的新型反调试技术，其中一个项目的课题是关于多处器计算机的，因为当进行调试时，多处理器中的一个会处于闲置状态。这种新技术使用并行处理技术来解密代码。

二、逆转录病毒

逆转录病毒会设法禁用反病毒软件，比如可以通过携带一列进程名，并杀死正在运行的与表中同名的那些进程。许多逆转录病毒还把进程从启动列表中踢出去，这样该进程就无法在系统引导期间启动了。这种类型的恶意软件还会设法挤占反病毒软件的CPU时间，或者阻止反病毒软件连接到反病毒软件公司的服务器以使其无法更新病毒库。

三、混合技术

W32.Gobi病毒是一个多态逆转录病毒，它结合了EPO和其他一些反调试技术。该病毒还会在TCP端口666上打开一个后门。

Simile（又名Metaphor）是一个非常有名的复合型病毒，它含有大约14,000行汇编代码。这个病毒通过寻找API调用ExitProcess（）来使用EPO，它还是一个多态病毒，因为它使用多态解密技术。它的90%代码都是用于多态解密，该病毒的主体和多态解密器在每次感染新文件时，都会放到一个半随机的地方。Simile的第一个有效载荷只在3月、6月、9月或12月份才会激活。在这些月份的17日变体A和B显示它们的消息。变体C在这些月份的第18日显示它的消息。变体A和B中的第二个有效载荷只有在五月14日激活，而变体C中的第二个有效载荷只在7月14日激活。

Ganda是一个使用EPO的逆转录病毒。它检查启动进程列表，并用一个return指令替换每个启动进程的第一个指令。这会使所有防病毒程序变得毫无用处。

四、小结

本文中，我们介绍了恶意软件用以阻碍对其进行逆向工程的若干反调试技术，同时介绍了逆转录病毒和各种反检测技术的组合。我们应该很好的理解这些技术，只有这样才能够更有效地对恶意软件进行动态检测和分析。