惡意代碼防范原理

惡意代碼防范原理劉功申上海交通大學(xué)信息安全工程學(xué)院本章學(xué)習(xí)目標(biāo)掌握惡意代碼防范理論模型掌握惡意代碼防范的層次結(jié)構(gòu)理解惡意代碼檢測知識及實驗掌握惡意代碼清除知識掌握惡意代碼預(yù)防知識掌握惡意代碼免疫思路本章內(nèi)容惡意代碼防范技術(shù)的發(fā)展我國惡意代碼防范技術(shù)的發(fā)展惡意代碼預(yù)防理論模型惡意代碼防范思路惡意代碼的檢測惡意代碼的清除惡意代碼的預(yù)防惡意代碼的免疫惡意代碼的處理流程1惡意代碼防范技術(shù)的發(fā)展起初，1個防范程序僅僅對付1個惡意代碼隨著惡意代碼數(shù)量的迅速增長，出現(xiàn)了專業(yè)反病毒研究人員：一是俄羅斯的EugeneKaspersky另一位是DoctorSoloman這些公司推出了專業(yè)的便于商業(yè)化的惡意代碼防范工具。2我國惡意代碼防范技術(shù)的發(fā)展DOS時代靜態(tài)的防范Windows時代引入了實時監(jiān)控等技術(shù)互聯(lián)網(wǎng)時代應(yīng)對蠕蟲、木馬等惡意代碼3惡意代碼預(yù)防理論模型F.Cohen“四模型”理論(1)基本隔離模型該模型的主要思想是取消信息共享，將系統(tǒng)隔離開來，使得惡意代碼既不能從外部入侵進(jìn)來，也不可能把系統(tǒng)內(nèi)部的病毒擴(kuò)散出去。(2)分隔模型將用戶群分割為不可能互相傳遞信息的若干封閉子集。由于信息處理流的控制，使得這些子集可被看作是系統(tǒng)被分割成的相互獨立的子系統(tǒng)，使得惡意代碼只能感染整個系統(tǒng)中的某個子系統(tǒng)，而不會在子系統(tǒng)之間進(jìn)行相互傳播。(3)流模型對共享的信息流通過的距離設(shè)定一個閥值，使得一定量的信息處理只能在一定的區(qū)域內(nèi)流動，若該信息的使用超過設(shè)定的閥值，則可能存在某種危險。(4)限制解釋模型即限制兼容，采用固定的解釋模式，就有可能不被惡意代碼感染。類“IPM”模型

把計算機(jī)程序或磁盤文件類比為不斷生長變化的植物。把計算機(jī)系統(tǒng)比作一個由許多植物組成的田園。把惡意代碼看成是侵害植物的害蟲。把計算機(jī)信息系統(tǒng)周圍的環(huán)境看作農(nóng)業(yè)事物處理機(jī)構(gòu)。3惡意代碼防范思路防治技術(shù)概括成6個層次：檢測清除預(yù)防被動防治免疫主動防治防范策略數(shù)據(jù)備份及恢復(fù)三分技術(shù)、七分管理、十二分?jǐn)?shù)據(jù)內(nèi)容：計算機(jī)病毒的診斷原理計算機(jī)病毒的診斷方法高速模式匹配自動診斷的源碼分析4

惡意代碼的檢測用什么來判斷？染毒后的特征常用方法：比較法校驗和特征碼掃描法行為監(jiān)測法感染試驗法分析法（1）比較法比較法是用原始或正常的對象與被檢測的對象進(jìn)行比較。手工比較法是發(fā)現(xiàn)新病毒的必要方法。比較法又包括：注冊表比較法工具RegMon弱點:正常程序也操作注冊表文件比較法通常比較文件的長度和內(nèi)容兩個方面工具FileMon弱點：長度和內(nèi)容的變化有時是合法的病毒可以模糊這種變化內(nèi)存比較法主要針對駐留內(nèi)存病毒判斷駐留特征中斷比較法將正常系統(tǒng)的中斷向量與有毒系統(tǒng)的中斷向量進(jìn)行比較比較法的好處：簡單比較法的缺點：無法確認(rèn)病毒，依賴備份（2）校驗和法首先，計算正常文件內(nèi)容的校驗和并且將該校驗和寫入某個位置保存。然后，在每次使用文件前或文件使用過程中，定期地檢查文件現(xiàn)在內(nèi)容算出的校驗和與原來保存的校驗和是否一致，從而可以發(fā)現(xiàn)文件是否感染，這種方法叫校驗和法，它既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒。優(yōu)點：方法簡單能發(fā)現(xiàn)未知病毒被查文件的細(xì)微變化也能發(fā)現(xiàn)缺點：必須預(yù)先記錄正常態(tài)的校驗和會誤報警不能識別病毒名稱程序執(zhí)行附加延遲不對付隱蔽性病毒。

（3）特征碼掃描法掃描法是用每一種病毒體含有的特定字符串（Signature）對被檢測的對象進(jìn)行掃描。如果在被檢測對象內(nèi)部發(fā)現(xiàn)了某一種特定字符串，就表明發(fā)現(xiàn)了該字符串所代表的病毒。掃描器由兩部分組成：特征串（Signature）和掃描算法（Scanner）選擇代碼串的規(guī)則是：代碼串不應(yīng)含有病毒的數(shù)據(jù)區(qū)，數(shù)據(jù)區(qū)是會經(jīng)常變化的。在保持唯一性的前提下，應(yīng)盡量使特征代碼長度短些，以減少時間和空間開銷。代碼串一定要在仔細(xì)分析了程序之后才能選出最具代表性的，足以將該病毒區(qū)別于其他病毒和該病毒的其他變種的代碼串。特征串必須能將病毒與正常的非病毒程序區(qū)分開。例如:給定特征串為“E9

7C

00

10

?

37

CB”，則“E9

7C

00

10

27

37

CB”和“E9

7C

00

10

9C

37

CB”都能被識別出來.特征碼示例惡意代碼名特征代碼Stoned/Marijuana00535152065657ChaosA1494368414F53505251E8Korea8ED08CF0FFFBBB1314Ghost90EA59EC009090PingPongVBA1F581A3F57D8B36F981GhostBootVersion5E81C65A04B80102TYPOBoot241355AAYanKeeDoodle35CD218BF38CC73066/2930Traceback148B4D168BC18ACDTaiwan8A0E950081E1FE00BA9EIta

Vir48EBD81CD39513931BD397Vcomm0A954CB39347E160B4MIXI/Icelandic43813F455875F1B80043Alabama8F061805268F061FDBASE80FC6C74EA80FC5874E5Lisbon8B11793D0A002E89Do-Nothing720450EB0790B44CAIDS42E8EFFF8ED82DCCKlezA10000

00

00506489250000

00

0083EC5853565789CIH558D4424F833DB648703其優(yōu)點包括：

（1）當(dāng)特征串選擇得很好時，病毒檢測軟件讓計算機(jī)用戶使用起來方便快速，對病毒了解不多的人也能用它來發(fā)現(xiàn)病毒。

（2）不用專門軟件，用編輯軟件也能用特征串掃描法去檢測特定病毒。

（3）可識別病毒的名稱。

（4）誤報警率低。

（5）依據(jù)檢測結(jié)果，可做殺毒處理。缺點：

（1）當(dāng)被掃描的文件很長時，掃描所花時間也較多。

（2）不容易選出合適的特征串，有時會發(fā)出假警報。

（3）新病毒的特征串未加入病毒代碼庫時，老版本的掃毒程序無法識別出新病毒。

（4）懷有惡意的計算機(jī)病毒制造者得到代碼庫后，會很容易地改變病毒體內(nèi)的代碼，生成一個新的變種，使掃描程序失去檢測它的能力。

（5）容易產(chǎn)生誤警報。只要正常程序內(nèi)帶有某種病毒的特征串，即使該代碼段已不可能被執(zhí)行，而只是被殺死的病毒體殘余，掃描程序仍會報警。

（6）不易識別變異類病毒。

（7）搜集已知病毒的特征代碼，費用開銷大。

（8）在網(wǎng)絡(luò)上使用效率低。（4）行為監(jiān)測法利用病毒的特有行為特性來監(jiān)測病毒的方法稱為行為監(jiān)測法。常用行為：占用INT13H修改DOS系統(tǒng)數(shù)據(jù)區(qū)的內(nèi)存總量對COM和EXE文件做寫入動作寫注冊表自動聯(lián)網(wǎng)請求優(yōu)點：發(fā)現(xiàn)未知病毒缺點：難度大、誤報警（5）感染實驗法這種方法的原理是利用了病毒的最重要的基本特征：感染特性。觀察正常程序和可疑程序的表現(xiàn)是非不同。

1．檢測未知引導(dǎo)型病毒的感染實驗法a.先用一張軟盤，做一個清潔無毒的系統(tǒng)盤，用DEBUG程序，讀該盤的BOOT扇區(qū)進(jìn)入內(nèi)存，計算其校驗和，并記住此值。同時把正常的BOOT扇區(qū)保存到一個文件中。上述操作必須保證系統(tǒng)環(huán)境是清潔無毒的b.在這張實驗盤上拷貝一些無毒的系統(tǒng)應(yīng)用程序。c.啟動可疑系統(tǒng)，將實驗盤插入可疑系統(tǒng)，運行實驗盤上的程序，重復(fù)一定次數(shù)。d.再在干凈無毒機(jī)器上，檢查實驗盤的BOOT扇區(qū)，可與原BOOT扇區(qū)內(nèi)容比較，如果實驗盤BOOT扇區(qū)內(nèi)容已改變，可以斷定可疑系統(tǒng)中有引導(dǎo)型病毒。2．檢測未知文件型病毒的感染實驗法a.在干凈系統(tǒng)中制作一張實驗盤，上面存放一些應(yīng)用程序，這些程序應(yīng)保證無毒，應(yīng)選擇長度不同，類型不同的文件（既有COM型又有EXE型）。記住這些文件正常狀態(tài)的長度和校驗和。b.在實驗盤上制作一個批處理文件，使盤中程序在循環(huán)中輪流被執(zhí)行數(shù)次c.將實驗盤插入可疑系統(tǒng)，執(zhí)行批處理文件，多次執(zhí)行盤中程序。d.將實驗盤放人干凈系統(tǒng)，檢查盤中文件的長度和校驗和，如果文件長度增加，或者校驗和變化，則可斷定系統(tǒng)中有病毒。（6）分析法分析法的目的在于：1．確認(rèn)被觀察的磁盤引導(dǎo)區(qū)和程序中是否含有2．確認(rèn)病毒的類型和種類，判定其是否是一種新病毒。3．搞清楚病毒體的大致結(jié)構(gòu)，提取特征識別用的字符串或特征字，用于增添到病毒代碼庫供掃描和識別程序用。4．詳細(xì)分析病毒代碼，為制定相應(yīng)的反病毒措施制定方案。檢測方法手工檢測工具軟件（Debug、UltraEdit、EditPlus、SoftICE、TRW、Ollydbg等）優(yōu)點：Aver發(fā)現(xiàn)并分析新病毒缺點：不可能普及自動檢測自動檢測是指通過一些自動診斷軟件來判斷系統(tǒng)是否有毒的方法。優(yōu)點：易于普及缺點：滯后性自動檢測的源碼分析討論自動診斷病毒（查毒）的最簡單方法——特征碼掃描法自動診斷程序至少要包括兩個部分：病毒特征碼（VirusPattern\VirusSignature）庫掃描引擎（ScanEngine）。病毒特征碼意義重大獲得方法手工自動掃描引擎是殺毒軟件的精華部分考慮殺毒速度待殺毒文件的類型支持的硬盤格式其他特殊技術(shù)虛擬執(zhí)行行為識別等等簡單的查毒程序VirScan是一個簡單的示例程序，其功能：根據(jù)病毒特征碼發(fā)現(xiàn)特定病毒（CIH和Klez）。VirScan從程序入口點開始查找病毒特征碼。對抗Klez病毒會卸載殺毒引擎的功能。CIH病毒不會動態(tài)地改變程序入口點處的標(biāo)記，我們可以自接從入口點處開始。Klez病毒會動態(tài)的改變程序入口點處的前16個字節(jié)，所以，VirScan跳過了前16個字節(jié)。構(gòu)造病毒庫virus.pattern病毒庫virus.pattern的結(jié)構(gòu)如下：Klez={A1,00,00,00,00,50,64,89,25,00,00,00,00,83,EC,58,53,56,57,89};Cih={55,8D,44,24,F8,33,DB,64,87,03};初始化病毒庫轉(zhuǎn)化函數(shù)：字符-55；數(shù)字-30經(jīng)過轉(zhuǎn)換后的格式為：unsignedcharKlezSignature[]={0xA1,0x00,0x00,0x00,0x00,0x50,0x64,0x89,0x25,0x00,0x00,0x00,0x00,0x83,0xEC,0x58,0x53,0x56,0x57,0x89};unsignedcharCihSignature[]={0x55,0x8D,0x44,0x24,0xF8,0x33,0xDB,0x64,0x87,0x03};保護(hù)VirScan程序首先，編寫一個普通的DLL，該DLL將導(dǎo)出一個名字為DontAllowForDeletion的函數(shù)。BOOLWINAPIDontAllowForDeletion(LPSTR

Str){ HANDLEhFile;

if((hFile=CreateFile(Str,GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTING, FILE_ATTRIBUTE_READONLY,NULL))==INVALID_HANDLE_VALUE){ returnFALSE; } returnTRUE;}然后，在VirScan的啟動時，調(diào)用DLL的導(dǎo)出函數(shù)，實現(xiàn)對VirScan程序的保護(hù)。DontAllowDeletion=(DLLFUNC*)GetProcAddress(hLib,"DontAllowForDeletion");DontAllowDeletion(TmpPath));//TmpPath為VirScan在系統(tǒng)中的物理位置病毒查找模塊查找前需要定位文件、定位PE入口//查找KlezSetFilePointer(hFile,pCodeBytes+16,NULL,FILE_BEGIN);ReadFile(hFile,pBytes,sizeof(KlezSignature),&ReadBytes,NULL);for(i=0;i<sizeof(KlezSignature);i++){

if(KlezSignature[i]!=pBytes[i]) break;}放在病毒庫里較好//查找CIH病毒SetFilePointer(hFile,pCodeBytes,NULL,FILE_BEGIN);ReadFile(hFile,pBytes,sizeof(CihSignature),&ReadBytes,NULL);for(i=0;i<sizeof(CihSignature);i++){

if(CihSignature[i]!=pBytes[i]) break;}演示程序5

惡意代碼的清除清除：將感染病毒的文件中的病毒模塊摘除，并使之恢復(fù)為可以正常使用的文件的過程稱為病毒清除.殺毒的不安全因素：清除過程可能破壞文件有的需要格式化才能清除清除的方法分類引導(dǎo)型病毒的清除原理文件型病毒的清除原理特殊病毒的清除原理引導(dǎo)型病毒的清除原理引導(dǎo)型病毒感染時的破壞行為有：（1）硬盤主引導(dǎo)扇區(qū)。（2）硬盤或軟盤的BOOT扇區(qū)。（3）為保存原主引導(dǎo)扇區(qū)、BOOT扇區(qū)，病毒可能隨意地將它們寫入其他扇區(qū)，而毀壞這些扇區(qū)。（4）引導(dǎo)型病毒發(fā)做，執(zhí)行破壞行為造成種種損壞。根據(jù)感染和破壞部位的不同，可以分以下方法進(jìn)行修復(fù)：第一種：硬盤主引導(dǎo)扇區(qū)染毒，是可以修復(fù)的。（1）用無毒軟盤啟動系統(tǒng)。（2）尋找一臺同類型、硬盤分區(qū)相同的無毒機(jī)器，將其硬盤主引導(dǎo)扇區(qū)寫入一張軟盤中。將此軟盤插入染毒機(jī)器，將其中采集的主引導(dǎo)扇區(qū)數(shù)據(jù)寫入染毒硬盤，即可修復(fù)。第二種：硬盤、軟盤BOOT扇區(qū)染毒也可以修復(fù)。尋找與染毒盤相同版本的無毒系統(tǒng)軟盤，執(zhí)行SYS命令，即可修復(fù)。第三種：引導(dǎo)型病毒如果將原主引導(dǎo)扇區(qū)或BOOT扇區(qū)覆蓋式寫入根目錄區(qū)，被覆蓋的根目錄區(qū)完全損壞，不可能修復(fù)。

第四種：如果引導(dǎo)型病毒將原主引導(dǎo)扇區(qū)或BOOT扇區(qū)覆蓋式寫入第一FAT表時，第二FAT表未破壞，則可以修復(fù)?？蓪⒌诙﨔AT表復(fù)制到第一FAT表中。

第五種：引導(dǎo)型病毒占用的其他部分存儲空間，一般都采用“壞簇”技術(shù)和“文件結(jié)束簇”技術(shù)占用。這些被空間也是可以收回的。文件型病毒的消毒原理覆蓋型文件病毒清除該型病毒是一種破壞型病毒，由于該病毒硬性地覆蓋掉了一部分宿主程序，使宿主程序被破壞，即使把病毒殺掉，程序也已經(jīng)不能修復(fù)。覆蓋型外的文件病毒原則上都可以被清除干凈根據(jù)感染的逆過程來清除清除交叉感染病毒交叉感染：有時一臺計算機(jī)內(nèi)同時潛伏著幾種病毒，當(dāng)一個健康程序在這個計算機(jī)上運行時，會感染多種病毒，引起交叉感染。清除的關(guān)鍵：搞清楚多種病毒的感染順序按感染先后次序的逆序清楚頭部宿主文件尾部病毒1病毒2病毒3病毒3病毒2病毒1頭部宿主文件尾部感染順序：病毒1--〉病毒2-–〉病毒3在殺毒時：病毒3--〉病毒2-–〉病毒1清除方法手工清除病毒的方法使用Debug、Regedit、SoftICE和反匯編語言等簡單工具進(jìn)行跟蹤，清除的方法。優(yōu)點：可以處理新病毒或疑難病毒（Worm等）缺點：需要高技術(shù)，復(fù)雜自動清除病毒方法使用殺毒軟件自動清除染毒文件中的病毒代碼，使之復(fù)原。優(yōu)點：方便，易于普及缺點：滯后、不能完全奏效6惡意代碼的預(yù)防惡意代碼的預(yù)防技術(shù)是指通過一定的技術(shù)手段防止惡意代碼對系統(tǒng)進(jìn)行傳染和破壞，實際上它是一種預(yù)先的特征判定技術(shù)。

惡意代碼的預(yù)防技術(shù)主要包括：磁盤引導(dǎo)區(qū)保護(hù)加密可執(zhí)行程序讀寫控制技術(shù)計算機(jī)系統(tǒng)監(jiān)控技術(shù)系統(tǒng)加固（例如，打補丁等）

（1）系統(tǒng)監(jiān)控技術(shù)計算機(jī)監(jiān)控技術(shù)(實時監(jiān)控技術(shù))

注冊表監(jiān)控腳本監(jiān)控內(nèi)存監(jiān)控郵件監(jiān)控文件監(jiān)控

實時監(jiān)控概念最根本的優(yōu)點是解決了用戶對惡意代碼的“未知性”，或者說是“不確定性”問題。

（2）源監(jiān)控技術(shù)密切關(guān)注、偵測和監(jiān)控網(wǎng)絡(luò)系統(tǒng)外部惡意代碼的動向，將所有惡意代碼源堵截在網(wǎng)絡(luò)入口處。示例：趨勢監(jiān)控系統(tǒng)(TVCS-TrendVirusControlSystem)

AT&T等單位聯(lián)合開發(fā)的“消息跟蹤查尋協(xié)議”(MTQP-MessageTrackingQueryProtocol)（3）個人防火墻技術(shù)個人防火墻以軟件形式安裝在最終用戶計算機(jī)上，阻止由外到內(nèi)和由內(nèi)到外的威脅。個人防火墻不僅可以監(jiān)測和控制網(wǎng)絡(luò)級數(shù)據(jù)流，而且可以監(jiān)測和控制應(yīng)用級數(shù)據(jù)流，彌補邊際防火墻和防病毒軟件等傳統(tǒng)防御手段的不足。

個人防火墻和邊際防火墻的區(qū)別個人防火墻可以監(jiān)測和控制應(yīng)用級數(shù)據(jù)流，而后者不能。

（4）系統(tǒng)加固技術(shù)系統(tǒng)加固是防黑客領(lǐng)域的基本問題，主要是通過配置系統(tǒng)的參數(shù)（如服務(wù)、端口、協(xié)議等）或給系統(tǒng)打補丁來減少系統(tǒng)被入侵的可能性。

常見的系統(tǒng)加固工作主要包括：安裝最新補??；禁止不必要的應(yīng)用和服務(wù)；禁止不必要的賬號；去除后門；內(nèi)核參數(shù)及配置調(diào)整