隐蔽
编辑
病毒会借由拦截杀毒软件对操作系统的调用来欺骗杀毒软件。当杀毒软件要求操作系统读取文件时,病毒可以拦截并处理此项要求,而非交给操作系统执行该要求。病毒可以返回一个未感染的文件给杀毒软件,使得杀毒软件认为该文件是干净未被感染的。如此一来,病毒可以将自己隐藏起来。现在的杀毒软件使用各种技术来反击这种手段。要反击病毒匿踪,唯一完全可靠的方法是从一个已知是干净的介质开始启动。
自修改
编辑
大部分杀毒软件透过所谓的病毒特征码来侦知一个文件是否有被感染。特定病毒,或是同属于一个家族的病毒会具有特定可识别的特征。如果杀毒软件侦测到文件具有病毒特征码,它便会通知用户该文件已被感染。用户可以删除或是修复被感染的文件。某些病毒会利用一些技巧使得透过病毒特征码进行侦测较为困难。这些病毒会在每一次感染时修改其自身的代码。换言之,每个被感染的文件包含的是病毒的变种。只能重灌或下载杀毒软件.
随机加密
编辑
胡搞更甚者是对病毒本身进行简单的加密。这种情况下,病毒本身会包含数个解密模块和一份被加密的病毒拷贝。如果每一次的感染,病毒都用不同的密钥加密,那病毒中唯一相同的部分就只有解密模块,常会附于文件尾端。杀毒软件无法直接透过病毒特征码侦测病毒,但它仍可以侦知存在解密模块,这就可以间接侦测病毒。因为这部分是存放在宿主上面的对称式密钥,杀毒软件可以利用密钥将病毒解密,但这并不必要。因为自修改代码很少见,杀毒软件可以先将这类文件标记成可疑。
一个古老但简洁的加密技术将病毒中每一个字节和一个常量做逻辑异或,欲将病毒解密只需简单的逻辑异或。一个程序若可修改自身代码就十分可疑,因此许多病毒定义中,将加解密部分视为病毒特征码的一部分。
多态
编辑
多态是第一个对杀毒软件造成严重威胁的技术。就像一般被加密的病毒,一个多态病毒以一个加密的自身拷贝感染文件,并由其解密模块加以解码。但是其加密模块在每一次的感染中也会有所修改。因此,一个仔细设计的多态病毒在每一次感染中没有一个部分是相同的。这使得使用病毒特征码进行侦测变得困难。杀毒软件必须在一模拟器上对该病毒加以解密进而侦知该病毒,或是利用加密病毒其统计模板上的分析。要使得多态代码成为可能,病毒必须在其加密处有一个多态引擎(又称突变引擎)。关于多态引擎的技术细节请参阅Polymorphic code。
有些多态病毒会限制其突变的速率。例如,一个病毒可能随着时间只有一小部分突变。或是病毒侦知宿主已被同一个病毒感染,它可以停止自己的突变。如此慢速的突变其优点在于,杀毒专家很难得到该病毒具有代表性的样本。因为在一轮感染中,诱饵文件只会包含相同或是近似的病毒样本。这会使得杀毒软件侦测结果变得不可靠,而有些病毒会躲过其侦测。
变形
编辑
为了避免被杀毒软件模拟而被侦知,有些病毒在每一次的感染都完全将其自身改写。利用此种技术的病毒被称为可变形的。要达到可变形,一个变形引擎是必需的。一个变形病毒通常非常庞大且复杂。举例来说,Simile(英语:Simile (computer virus))病毒包含14000行汇编语言,其中90%都是变形引擎。