电脑杀毒64招-38-计算机病毒技术新动向计算机病毒技术新动向计算机病毒的广泛传播，推动了反病毒技术的发展，新的反病毒技术的出现，又迫使计算机病毒再更新其技术。两者相互激励，螺旋式上升地不断提高各自的水平，在此过程中涌现出许多计算机病毒新技术，采用这些技术的目的是为了计算机病毒能够广泛传播开来。1．抗分析病毒技术顾名思义，这种病毒技术是针对病毒的分析技术的。为了使得病毒的分析者难于分析清楚病毒原理，这种病毒综合采用了以下两种技术：（1）加密技术。这是一种防止静态分析的技术，使得分析者无法在不执行病毒的情况下，阅读加密过的病毒程序。（2）反跟踪技术。使得分析者无法动态跟踪病毒程序的运行。显然，无法静态分析，无法动态跟踪，是无法知道病毒的工作原理的。当然这是在理想情况下，相对而言的。2．隐蔽性病毒技术计算机病毒刚刚开始出现时，由于人们对这种新生事物的认识不足，因而计算机病毒不需要刻意的采取什么隐蔽技术，也能达到广泛传播的目的。然而当人们越来越了解计算机病毒，并有了一套成熟的检测病毒方法的时候，病毒要想广泛传播开来，就应该能够躲避现有的病毒检测技术，以便不被人发现。隐蔽自己，使人们难于发现的特性是病毒的重要特性。隐蔽好，不易被发现，可以争取较长的存活期，造成大面积的感染，从而造成大面积的伤害。隐蔽自己不被发现的病毒技术叫做隐蔽性病毒技术，隐蔽性病毒技术是与计算机病毒检测技术相对应的，一般来说）有什么样的病毒检测技术，就有相应的隐蔽性病毒技术。军事上的“隐形”技术是使飞机不在敌方的防御雷达屏幕上显现成形，从而可以隐蔽地深入到敌人内部进行攻击的技术。与此类似，当计算机病毒采用特殊的“隐形”技术后，可以在病毒进入内存后，使计算机的用户几乎感觉不到它的存在。1987年1月，在以色列发现了采用隐蔽性技术最早的最著名的计算机病毒-4096病毒。人们称之为既隐蔽又诡诈的病毒。此病毒感染文件时，长度增加4096字节，而且恒定不变。它常驻内存高端，BIOS检测内存容量时，不能发现它占用了内存。在带毒环境下，当用DIR命令查看文件时，病毒获得对系统的控制权，它把文件原先正确的长度、日期显示给用户。受感染的EXE文件头已被改动，用DEBUG查看病毒的EXE文件头时，用户看到的是未受感染的完全正常的文件头。类似4096病毒，采用隐蔽性技术的病毒已经形成一类。在带毒环境下，采用一般的方法观察，很难发现，反病毒工具也失去作用，可能给用户造成很大的损失。计算机病毒要做到不留一丝的痕迹是不可能的，也存在不可逾越的缺陷，因此这种病毒技术没有大大的危害性，是可以对付的。对付“隐形”病毒最好的办法就是在未受病毒感染的环境下去观察它。3．多态性病毒技术“千面人”是难于识别的。假如一个人有1000张面相，人们无法确认他是谁。多态性病毒就是病毒世界的“千面人”。多形型病毒是指采用特殊加密技术编写的病毒，这种病毒在每感染一个对象时，采用随机方法对病毒主体进行加密。多形型病毒主要是针对查毒软件而设计的，所以随着这类病毒的增多，使得查毒软件的编写变得更困难，并还会带来许多的误报。国际上造成全球范围传播和破坏的第一例多形型病毒是TEQUTLA病毒，从该病毒的出现到编制出能够完全查出该病毒的软件，研究人员花费了九个月的时间。采用多形性病毒技术的计算机病毒叫做多形性病毒，又称多态性病毒，这种病毒在每次感染时，放人宿主程序的代码互不相同，不断变化。同一种病毒的多个样本种，病毒代码不同，几乎没有稳定代码。所有采用特征代码法的检测工具都不能识别它们。诚然，多态性病毒的出现确实给传统的特征代码检测法带来巨大的冲击，甚至有人认为在静态的方式下检测这种病毒是不可能的。但是世界上从来就不存在十全十美的事物，同样，多态性病毒也存在一些不可弥补的缺陷。因此，反病毒技术不能再停留在等待被病毒感染，然后用查病毒软件扫描病毒，最后再杀病毒这样被动的状态，而应该用主动防御的方法，用病毒行为跟踪的方法，在病毒要进行传染，要进行破坏的时候发出警报并及时阻止病毒的任何有害操作。这就是针对病毒行为的预警系统的工作原理，英语上称之为ActivityTrap技术。4．插入性病毒技术一般病毒感染文件时，或者将病毒代码放在文件头部，或者放在尾部，虽然可能对宿主代码作某些改变，但从总体上说，病毒与宿主程序有明确界限。插入性病毒在不了解宿主程序的功能及结构的前提下，能够将宿主程序在适当处拦腰截断，在宿主程序的中部插入病毒程序，并且必须做到：病毒首先获得运行权；病毒不能卡死；宿主程序不会因为插入病毒而卡死。此类病毒在写作时，相当困难。宿主程序切断处不当，很容易死机。很久以前，曾有文献介绍了此种病毒，直到1991年在保加利亚才发现了首