第三种,随机加密自变感染

此类感染具备可变性了

其在PE文件尾部增加一段代码.用于解密病毒代码并执行

然后新增一个节.保存加密后的病毒代码

最后在PE文件尾部填写原本的OEP

然后修改OEP为解密代码用的那部分代码的开头.一般为原文件大小

其从符合特定特征的节名称中提取密钥

然后使用该密钥解密病毒节并跳转执行.

病毒代码会从文件尾部读取4字节跳转回原本的OEP



在该病毒代码中.发现会生成新的随机密钥去感染其他的PE文件.真正具备了自变性

但是其解密代码可以被作为特征码提取



解除方法:

读取末尾的OEP指针,将OEP改回

删除新增的节

之所以不删除解密代码.是为了防止破坏导致源文件无法运行



此类感染型比较难以被通用发现..因为其行为很像一些自解密的加密壳

并且也不具备某种通用特征如OEP在最后一个节