恶意代码防范技术原理-恶意代码概述

2023-11-07

一、恶意代码定义与分类

恶意代码（Malicious Code）：是一种违背目标系统安全策略的程序代码，会造成目标系统信息泄露、资源滥用，破坏系统的完整性及可用性。它能够经过存储介质或网络进行传播，从一台计算机系统传到另外一台计算机系统，未经授权认证访问或破坏计算机系统

恶意代码的种类：包括计算机病毒( Computer Virus)、蠕虫(Worms)、特洛伊木马(Trojan Horse)、逻辑炸弹( Logic Bombs)、细菌(Bacteria)、恶意脚本(Malicious Scripts)和恶意ActiveX控件、间谍软件(Spyware)等

恶意代码分类

随着计算机技术的普及和信息网络化的发展，恶意代码的危害性日益扩大，现在已经出现手机病毒。更令人担忧的是，恶意代码逐渐拥有抗监测能力，如通过变形技术来逃避安全防御机制

恶意代码的传播和植入能力：由被动向主动转变，由本地主机向网络发展
恶意代码具有更强的隐蔽性，不仅实现进程隐藏和内容隐藏，而且也能做到通信方式隐藏
在恶意代码的攻击目标方面，恶意代码由单机环境向网络环境转变，从有线网络环境向无线网络环境演变

二、恶意代码攻击模型

恶意代码的行为不尽相同，破坏程度也各不相同，但它们的作用机制基本相同

作用过程步骤

侵入系统：恶意代码入侵有许多途径，如:从互联网下载的程序，其自身也许就带有恶意代码;接收了已被恶意感染的电子邮件;通过光盘或软盘在系统上安装的软件;攻击者故意植入系统的恶意代码等
维持或提升已有的权限：恶意代码的传播与破环需要建立在盗用用户或者进程的合法权限的基础之上
隐蔽：为了隐蔽已经侵入系统的恶意代码，可能会采取对恶意代码改名、删除源文件或者修改系统的安全策略等方式
潜伏：恶意代码侵入系统后，在具有足够的权限并满足某些条件时就会发作，同时进行破坏活动
破坏：恶意代码具有破坏性的本质，为的是造成信息丢失、泄密，系统完整性被破坏等
重复前面5步对新的目标实施攻击过程

恶意代码攻击模型

三、恶意代码生存技术

3.1 反跟踪技术

恶意代码靠采用反跟踪技术来提高自身的伪装能力和防破译能力，使检测与清除恶意代码的难度大大增加

反跟踪技术分类

①反动态跟踪技术

禁止跟踪中断：针对调试分析工具运行系统的单步中断与断点中断服务程序，恶意代码通过修改中断服务程序的入口地址来实现其反跟踪的目的
检测跟踪法：根据检测跟踪调试时和正常执行时的运行环境、中断入口和时间的不同，采取相应的措施实现其反跟踪目的
其他反跟踪技术：如指令流队列法和逆指令流法等

②反静态分析技术

对程序代码分块加密执行：为了不让程序代码通过反汇编进行静态分析，将分块的程序代码以密文形式装入内存，由解密裎序在执行时进行译码，立即清除执行完毕后的代码，力求分析者在任何时候都无法从内存中获得执行代码的完整形式
伪指令法：伪指令法指将“废指令”插入指令流中，让静态反汇编得不到全部正常的指令，进而不能进行有效的静态分析。伪指令技术还广泛应用于宏病毒与脚本恶意代码之中

3.2 加密技术

加密技术是恶意代码进行自我保护的手段之一，再配合反跟踪技术的使用，让分析者不能正常调试和阅读恶意代码，无法获得恶意代码的工作原理，自然也不能抽取特征串

从加密的内容上划分，加密手段有三种：即信息加密、数据加密和程序代码加密。大部分恶意代码对程序体本身加密，但还有少数恶意代码对被感染的文件加密

3.3 模糊变换技术

恶意代码每感染一个客体对象时都会利用模糊变换技术使潜入宿主程序的代码不尽相同。尽管是同一种恶意代码，但仍会具有多个不同样本，几乎不存在稳定的代码，只采用基于特征的检测工具一般无法有效识别它们。随着这类恶意代码的增多，不但使病毒检测和防御软件的编写难度加大，还会使反病毒软件的误报率增加

模糊变换技术分类

指令替换技术：模糊变换引擎(Mutation Engine)对恶意代码的二进制代码进行反汇编，解码并计算指令长度，再对其同义变换。例如，指令XOR REG，REG被变换为SUB REG，REG
指令压缩技术：经恶意代码反汇编后的全部指令由模糊变换器检测，对可压缩的指令同义压缩。压缩技术要想使病毒体代码的长度发生改变，必须对病毒体内的跳转指令重定位。例如指令MOV REG，12345678 / PUSH REG变换为指令PUSH 12345678等
指令扩展技术：扩展技术是对汇编指令进行同义扩展，所有经过压缩技术变换的指令都能够使用扩展技术来进行逆变换。扩展技术远比压缩技术的可变换空间大，指令甚至能够进行几十或上百种的扩展变换。扩展技术也需要对恶意代码的长度进行改变，进行恶意代码中跳转指令的重定位
伪指令技术：主要是将无效指令插入恶意代码程序体，例如空指令
重编译技术：使用重编译技术的恶意代码中携带恶意代码的源码，要在自带编译器或者操作系统提供编译器的基础上进行重新编译，这种技术不仅实现了变形的目的，而且为跨平台的恶意代码的出现提供了条件。这表现在UNIX/Linux操作系统，系统默认配置有标准C的编译器。宏病毒和脚本恶意代码是典型的采用这类技术变形的恶意代码。Tequtla是第一例在全球范围传播和破坏的变形病毒

3.4 自动生产技术

普通病毒能够利用“多态性发生器”编译成具有多态性的病毒。多态变换引擎能够让程序代码本身产生改变，但却可以保持原有功能。例如保加利亚的“Dark Avenger” ，变换引擎每产生一个恶意代码，其程序体都会发生变化，反恶意代码软件若只是采用基于特征的扫描技术，则无法检测和清除这种恶意代码

3.5 变形技术

病毒设计者利用病毒特征代码库固定性这一漏洞，设计出具有同一功能不同特征码的恶意代码

恶意代码变形技术包括

重汇编技术：变形引擎对病毒体的二进制代码进行反汇编，解码每一条指令，并对指令进行同义变换。如“Regswap”就采用简单的寄存器互换的变形
压缩技术：变形器检测病毒体反汇编后的全部指令，对可进行压缩的一段指令进行同义压缩
膨胀技术：压缩技术的逆变换就是对汇编指令同义膨胀
伪指令技术：主要是对病毒体插入废指令，例如空指令、跳转到下一指令和压弹栈等
重编译技术：病毒体携带病毒体的源码，需要自带编译器或者利用操作系统提供的编译器进行重新编译，这为跨平台的恶意代码的出现打下了基础

3.6 三线程技术

为了防止恶意代码被外部操作停止运行

工作原理：一个恶意代码进程同时开启了三个线程，其中一个为负责远程控制工作的主线程，另外两个为用来监视线程负责检查恶意代码程序是否被删除或被停止自启动的监视线程和守护线程。注入其他可执行文件内的守护线程，同步于恶意代码进程。只要进程被停止，它就会重新启动该进程，同时向主线程提供必要的数据，这样就使得恶意代码可以持续运行

3.7 进程注入技术

在系统启动时操作系统的系统服务和网络服务一般能够自动加载。恶意代码程序为了实现隐藏和启动的目的，把自身嵌入与这些服务有关的进程中。这类恶意代码只需要安装一次，就能被服务加载到系统中运行，并且可以一直处于活跃状态

3.8 通信隐藏技术

实现恶意代码的通信隐藏技术有四类

端口定制技术：旧木马几乎都存在预设固定的监听端口，但是新木马一般都有定制端口的功能。优点：木马检测工具的一种检测方法就是检测缺省端口，定制端口可以避过此方法的检测
端口复用技术：利用系统网络打开的端口(如25和139等) 传送数据。具有很强的欺骗性，可欺骗防火墙等安全设备，可避过IDS和安全扫描系统等安全工具
通信加密技术：即将恶意代码的通信内容加密发送。优势：能够使得通信内容隐藏，弊端：是通信状态无法隐藏
隐蔽通道技术：能有效隐藏通信内容和通信状态，但恶意代码编写者需要耗费大量时间以便找寻隐蔽通道

3.9 内核级隐藏技术

①LKM隐藏：LKM是可加载内核模块，用来扩展Linux的内核功能。LKM能够在不用重新编译内核的情况下把动态加载到内存中。基于这个优点，LKM技术经常使用在系统设备的驱动程序和Rootkit中。LKM Rootkit通过系统提供的接口加载到内核空间，将恶意程序转化成内核的某一部分，再通过hook系统调用的方式实现隐藏功能

②内存映射隐藏：内存映射是指由一个文件到一块内存的映射。内存映射将硬盘上的内容映射至内存中，用户可以通过内存指令读写文件。使用内存映射避免了多次调用I/O操作的行为，减少了不必要的资源浪费

四、恶意代码攻击技术

4.1 进程注入技术

系统服务和网络服务在操作系统中，当系统启动时被自动加载。进程注入技术就是将这些与服务相关的嵌入了恶意代码程序的可执行代码作为载体，实现自身隐藏和启动的目的。这类恶意代码只需安装一次，就能被服务加载到系统中运行，并且可以一直处于活跃状态

4.2 超级管理技术

部分恶意代码能够攻击反恶意代码软件。恶意代码采用超级管理技术对反恶意代码软件系统进行拒绝服务攻击，阻碍反恶意代码软件的正常运行

4.3 端口反向连接技术

防火墙对于外网进入内部的数据流有严格的访问控制策略，但对于从内到外的数据并没有严格控制。指令恶意代码使用端口反向连接技术使攻击的服务端(被控制端)主动连接客户端(控制端)端口。如国外的“Boinet'’ ，我国的“网络神偷”、“灰鸽子”

4.4 缓冲区溢出攻击技术

恶意代码利用系统和网络服务的安全漏洞植入并且执行攻击代码，攻击代码以一定的权限运行有缓冲区溢出漏洞的程序来获得被攻击主机的控制权。缓冲区溢出攻击成为恶意代码从被动式传播转为主动式传播的主要途径之一。例如，“红色代码”

五、恶意代码分析技术

恶意代码的分析方法构成

5.1 静态分析方法

反恶意代码软件的检测和分析：反恶意代码软件检测恶意代码的方法有：特征代码法、校验和法、行为监测法、软件模拟法等。根据恶意代码的信息去搜寻更多的资料，若该恶意代码的分析数据已被反恶意代码软件收录，那就可以直接利用它们的分析结果

字符串分析：目的是寻找文件中使用的ASCII或其他方法编码的连续字符串。通过在恶意代码样本中搜寻字符串得到:

①恶意代码的名字

②帮助和命令行选项

③用户对话框，可以通过它分析恶意代码的目的

④后门密码

⑤恶意代码相关的网址

⑥恶意代码作者或攻击者的E-maiI地址

⑦恶意代码用到的库，函数调用，以及其他的可执行文件

⑧其他的有用的信息

脚本分析：恶意代码如果是用JS、PerI或者shell脚本等脚本语言编写的，那么恶意代码本身就可能带有源代码。通过文本编辑器将脚本打开查看源代码。脚本分析能帮助分析者用较短时间识别出大量流行的脚本类型
静态反编译分析：对于携带解释器的恶意代码可以采用反编译工具查看源代码。因为编译器优化使得逆向编译的代码有着较差的可读性
静态反汇编分析：有线性遍历和递归遍历两种方法
1. 线性遍历算法：从输入程序的入口点开始反汇编，简单地遍历程序的整个代码区，反汇编它所遇到的每一条指令。虽然方法简单，但存在不能够处理嵌入指令流中的数据的问题，如跳转表
2. 递归遍历算法：试图用反汇编出来的控制流指令来指导反汇编过程，以此解决上面线性遍历所存在的问题

5.2 动态分析方法

文件监测：恶意代码执行后，在目标主机上可能读写各文件，修改程序，添加文件，甚至把代码嵌入其他文件，因此对文件系统必须进行监测
进程监测：恶意代码要入侵甚至传播，必须有新的进程生成或盗用系统进程的合法权限，主机上所有被植入进程的细节都能为分析恶意代码提供重要参考信息
网络活动监测：分析恶意代码还要监测恶意代码的网络行为。使用网络嗅探器检测恶意代码传播的内容，当恶意代码在网络上发送包时，嗅探器就会将它们捕获
注册表监测：Windows操作系统的注册表是个包含了操作系统和大多数应用程序的配置的层次数据库，恶意代码运行时一般要改变Windows操作系统配置来改变Windows操作系统行为
动态反汇编分析：动态反汇编指在恶意代码的执行过程中对其进行监测和分析。其基本思想是将恶意代码运行的控制权交给动态调试工具。该监测过程从代码的入口点处开始，控制权在程序代码与调试工具之间来回传递，直到程序执行完为止。这种技术能得到正确的反汇编代码，但只能对程序中那些实际执行的部分有效。目前主要的动态反汇编分析方法有以下两种
1. 同内存调试：这种方法使调试工具与被分析恶意代码程序加载到相同的地址空间里。优点：是实现代价相对较低，相对来说比较简单;缺点：是需要改变被分析程序的地址
2. 仿真调试：即虚拟调试。这种方法是让调试工具与分析的恶意代码程序处于不同的地址空间，可绕过很多传统动态反跟踪类技术。优点：是不用修改目标程序中的地址，缺点：在进程间控制权的转移上要付出较高的代价

六、恶意代码防范策略

恶意代码防御成为用户、网管的日常安全工作。要做好恶意代码的防范，一方面组织管理上必须加强恶意代码的安全防范意识。因为，恶意代码具有隐蔽性、潜伏性和传染性，用户在使用计算机过程中可能不知不觉地将恶意代码引入所使用的计算机中，所以防范恶意代码应从安全意识上着手，明确安全责任、义务和注意事项。另一方面，通过技术手段来实现恶意代码防御

防范恶意代码的总体框架如图

友情链接：http://xqnav.top/

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)