（计算机软件与理论专业论文）反病毒虚拟机的研究与实现.pdf

摘要 摘要 反病毒虚拟机技术是当今反病毒领域采用的核心技术之一，在变形病毒和未 知病毒检测方面得到广泛的应用。由于理论和技术上的缺陷，当前的反病毒虚拟 机主要用于模拟变形病毒的解密过程，在动态检测未知病毒方面能力有限，如何 提高反病毒虚拟机检测未知病毒能力是当今反病毒领域面f 临的重要课题。本论文 在深入分析反病毒虚拟机技术和计算机病毒本质特征的基础上，理论与实践研究 相结合，设计和实现了一个w i n d o w s 平台下的反病毒虚拟机，提高了对未知病毒 的检测能力，并且建立了反病毒虚拟机相关的计算理论。主要完成了下面的工作： l 、在分析大量p e 病毒的基础上，阐述了p e 病毒的基本原理，总结出p e 病 毒的主要病毒特征；结合实例深入分析了变形病毒的原理、基本结构和特点，阐 明了变形病毒的本质，并讨论了当前几种主要的反变形病毒技术。 2 、深入研究了当前的反病毒虚拟机技术以及w i n d o w s 操作系统的特点，设计 并实现了w i n d o w s 平台下的3 2 位反病毒虚拟机。文中详细描述了该反病毒虚拟机 的原理、体系结构、和具体实现过程。反病毒引擎的设计采用当前的反病毒技术 和动态检测相结合的方法，充分挖掘反病毒虚拟机动态检测的功能，克服了当前 反病毒虚拟机仅仅作为“通用解密器”的局限，提高了反病毒能力。实验结果显 示：和目前k a s p e r s k y 、n o r t o n 、瑞星和江民这些杀毒软件相比，该反病毒虚拟机 在某种程度上提高了对未知p e 病毒的判定能力。同时认真分析了反病毒虚拟机存 在的主要缺点和当今主要的反虚拟机技术，指出了下一步改进措施和发展方向。 3 、结合计算理论，建立了反病毒虚拟机的计算模型，阐述了该模型的功能， 迸一步证明了它的可行性和动态可判定性，从理论上确定了反病毒虚拟机的功能， 并初步分析了反病毒虚拟机检测病毒的计算复杂度，得出结论：理论上存在一些 病毒，反病毒虚拟机对它们的检测具有任意大的计算复杂度，但对目前占主流的 具有相同传染内核的病毒，反病毒虚拟机能给出检测该类病毒的计算复杂度下限。 初步建立了反病毒虚拟机相关的理论。 关键词：计算机病毒，反病毒虚拟机，p e 病毒，计算模型，复杂度 a b s t r a c t a b s t r a c t a n t i v i r u sv i r t u a lm a c h i n ei so n eo f c r u c i a lt e c h n o l o 百e si nt h ed o r a a i no f a n t i v i m s n o w a d a y s ，w h i c hi sa p p l i e dw i d e l yt od e t e c tp o l y m o r p h i cv i r u s e sa n du n k o w nv i r u s e s b e c a u s eo ft h el i m i t a t i o no ft h e o r ya n dt e c h n o l o g y , c u r r e n ta n t i v i r u sv i r t u a lm a c h i n e m a i n l ys i m u l a t e sd e c r y p t i o no fp o l y m o r p h i cv i r u s e s ，a n dh a v en o te n o u g ha b i l i t yt o d e t e c tm a k o w nv i r u s e s ，8 0i nc o u r s eo fr e s e a r c h i n ga n t i v i m st e c h n o l c l g i e s ，i ti sac r u c i a l r e s e a r c ht oi m p r o v et h ea b i l i t yo f a n t i v i r u sv i r t u a lm a c h i n e sd e t e c t i n gu n k o w nv i r u s e s b a s e do nd e e pr e s e a r c ho nc u r r e n ta n t i v i r u sv i r t u a lm a c h i n ea n dc h a r a c t e r i s t i c so f c o m p u t e rv i r u s e s ，a na n t i v i r u sv i r t u a lm a c h i n eo nt h e w i n d o w sp l a t f o r mw i t h e n h a n c e da b i l i t yo fd e t e c t i n gu n k n o w nv i r u s e si sa c h i e v e db yr e s e a r c ho ft h e o r i e sa n d p r a c t i c e m o r e o v e r , t h ec o m p u t a t i o n a lt h e o r y o fa n t i v i r u sv i r t u a lm a c h i n ei s e s t a b l i s h e d t h i sp a p e rm a i n l yc o m p l e t e ss o m ew o r ka sf o l l o w ： 1 b a s e do na n a l y s i so fm a n yp ev i r u s e s ，t h i sp a p e re x p a t i a t e so np ev i r u s e s b a s i c p r i n c i p l e s a n ds u m m a r i z e sp r i m a r yc h a r a c t e r i s t i c so fp ev i r u s e s ，a n dm o r e o v e r , i l l u s t r a t e sp o l y m o r p h i cv i r u s e s p r i n c i p l e , b a s i cs t r u c t u r e ，c h a r a c t e r i s t i c sa n de s s e n c e ， a n dd i s c u s s e ss o m em a i nt e c h n o l o g i e sa g a i n s tp o l y m o r p h i cv i r u s e s 2 t h ea u t h o rm a d ead e e pr e s e a r c ho nt h ed e v e l o p m e n to fa n t i v i r u sv i r t u a l m a c h i n ea n dt h ec h a r a c t e r i s t i c so fw i n d o w so p e r a t i o ns y s t e m ，a n da3 2 一b i t sa n f i v i r u s v i r t u a lm a c h i n eo fw i n d o w si sd e s i g n e da n di m p l e m e n t e d t h i sp a p e rd e s c r i b e st h e b a s i ct h e o r y , a r c h i t e c t u r ea n di m p l e m e n t a t i o no fa n t i v i r u sv i r t u a lm a c h i n ei nd e t a i l a n t i v i r u se n g i n eo fa n t i v i r u sv i r t u a lm a c h i n ei sd e s i s g n e dw i t hc u r r e n ta n f i v i r u s t e c h n o l o g i e s a n dd y n a m i cd e t e c t i n gm e t h o d s ，w h i c ha d e q u a t e l yu t i l i z e s d y n a m i c d e t e c t i n g f u n c t i o no fa n t i v i r u sv i r t u a lm a c h i n ea n do v e r c o m e st h er e s t r i c t i o no f u n i v e r s a ld e c r y p t i o n , w h i c hi m p r o v e sa n t i v i r u sa b i l i t y e x p e r i m e n t a lr e s u l t ss h o wt l l a t c o m p a r e d w i t hs o m ea n t i v i r u ss o f t w a r ei n c l u d i n gk a s p e r s k y , n o r t o n , r u i x i n g , j i a n g m i n g , t h ea n f i v i r u sv i r t u a lm a c h i n ei m p r o v e st h ea b i l i t yo fd e t e c t i n gn r k n o w n p ev i r u s e si naw a y f u r t h e r m o r e ，t h ep a p e rc a r e f u l l ya n a l y z e sa n t i v i r u sv i r t u a l m a c h i n e sm a i ns h o r f a g e sa n ds o m et e c h n o l o 西e so fa n t i - v m ( v i r t u a lm a c h i n e ) ，a n d p o i n t so u ti m p r o v e m e n tm e t h o d sa n dd e v e l o p m e n t a ld i r e c t i o n a b s 仃a c t 3 c o m b i n e dw i t hc o m p u t a b l et h e o r y , t h i sp a p e re s t a b l i s h e sc o m p u t a t i o n a lm o d e lo f a n t i v i r u sv i r t u a lm a c h i n e ，a n dd e s c r i b e st h em o d e l sf u n c t i o na n df u r t h e rp r o v e si t s c o m p u t a b i l i t ya n dd y n a m i cd e c i d a b i l i t y , w h i c hd e c i d e st h ef u n c t i o no fa n t i v i r u sv i r t u a l m a c h i n ei nt h e o r y f u r t h e r m o r e , t h i sp a p e re l e m e n t a r i l ya n a l y z e si t sc o m p u t a t i o n a l c o m p l e x i t yo f d e t e c t i n gv i r u s e s ，w h i c hc o n c l u d e st h a tt h e r ee x i s ts o m ec o m p u t e rv i r u s e s d e t e c t e db ya t i v i m sv i r t u a lm a c h i n ew i t ha r b i t r a r yl a r g ec o m p u t a t i o n a lc o m p l e x i t yi n t h e o r y , a n dh o w e v e r 船f o rc u r r e n tm o s tv i r u s e sw i t has a n l ei n f e c t i o nk e r n e lt h e r ei sa c o m p u t a t i o n a lc o m p l e x i t y sl o w e rl i m i t ， a n do r i g i n a l l ye s t a b l i s h e st h et h e o r yo f a n t i v i r u sv i r t u a lm a c h i n e k e yw o r d s ：c o m p u t e rv i r u s ，a n t i v i m sv i r t u a lm a c h i n e , p ev i r u s e s ，c o m p u t a t i o n a l m o d e l ，c o m p l e x i t y i 图目录 图目录 图3 - 1p e 文件格式图1i 图3 2p e 病毒基本结构图1 2 图4 1 反病毒虚拟机的基本体系结构图2 7 图4 2 反病毒虚拟机工作流程图2 9 图4 - 3 反病毒虚拟机初始化程序图3 0 图4 4p e 文件重定位原理图31 图4 5p e 文件装载前输入表结构图3 2 图4 6p e 文件装载后输入表结构图3 3 图4 7i n t e l 8 0 x 8 6 指令格式图3 4 图4 8 虚拟c p u 抽象结构图3 4 图4 9 虚拟c p u 译码流程图3 5 图4 ，1 0w i n d o w s 异常处理过程图4 2 图4 一1 1 虚拟机异常模拟过程图4 4 图4 1 2 变形病毒的判定过程图4 5 图4 1 3 反病毒虚拟机判定病毒加密图5 8 图4 1 4 反病毒虚拟机完成病毒解密图5 8 图4 ，1 5 反病毒虚拟机动态检测病毒图5 9 图4 1 6 反病毒虚拟机判定未知病毒图6 0 图5 1 图灵机模型图6 5 图5 - 2 通用图灵机模型图6 6 图5 3 反病毒虚拟机的图灵机模型图。6 6 i 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名： 壶 建 日期：叼年年月砰日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 虢土豆翩硌雄 日期：力刀年4 月砰日 第一章引言 第一章引言 计算机技术的迅猛发展和计算机网络对各个领域的渗透，给人们的工作和生 活带来前所未有的便利，与此同时，由于计算机系统的脆弱性，计算机安全问题 变得日益突出，特别是计算机病毒的发展和蔓延给社会造成了巨大的威胁和破坏。 1 9 9 8 年出现的c i i 病毒致使2 0 0 0 万台计算机瘫痪，1 9 9 9 年的l i s s a 病毒造成 8 0 0 0 万美元的损失，2 0 0 0 年的l o v el e t t e r 病毒影响至q1 2 0 0 万台计算机所造成 的经济损失就达几十亿美元，近年来，我国计算机病毒以每年翻一番的速度增长， 每年出现的新病毒种类达到3 0 多个“1 。因此，深入研究计算机病毒与反病毒技术， 提高计算机系统反病毒能力，是反病毒领域面临的重大任务。 1 1 课题研究背景 从最初的i b m 3 7 0 系统( $ 3 7 0 ) 和m m 3 9 0 系统( s 3 9 0 ) 到u n i x 、w i n d o w s 和各类软件的发展，虚拟机技术发挥了强大的作用。在今天的计算机世界中，虚 拟机的概念已经被用来解决许多问题，从机器的分割( i b m 模型) ，到“半平台无 关”的程序设计语言( j a v a 模型) ，到开发操作系统( u n 模型和o s i 模型) ，虚 拟机理论及其技术在现代计算机的发展过程中已经被证明是一个强大的工具。 随着病毒技术的发展，特别是变形病毒的出现，基于特征值扫描的反病毒技 术已经存在较大的局限。这类病毒采用变形加密技术，每次传染后随机变化病毒 代码，能产生数量众多的“变种”，其中以w i n d o w s 平台下的p e 病毒最为典型， 这类病毒在认真分析p e 格式的基础上，充分挖掘p e 格式的特点和漏洞，实现了 极其复杂、手段多样的传染方式，并且融合变形技术，给反病毒技术带来了新的 冲击。为了对抗这些技巧复杂、形体变化的病毒，反病毒领域相应采用了新的反 病毒技术，启发式分析、行为阻断、虚拟机技术、主动内核技术等应运而生，并 且取得了较好的效果。由于病毒技术的主动性，当前的反病毒技术依然处于被动 滞后的位置，不断面临技术复杂的未知病毒的挑战，如何提高对未知病毒( 包括 变形病毒) 的判定能力是当今反病毒领域面临的重大课题。 虚拟机技术应用于反病毒领域是反病毒技术的重大突破，这种技术接近于人 工分析，智能化和查毒的准确性极高，它能模拟一个程序的运行环境，病毒在其 电子科技大学硕士学位论文 中运行如同在真实的环境中一样，这样就不断显露它的病毒特征，是一种极其理 想的反病毒方式。目前反病毒虚拟机主要用于变形病毒的解密还原，又称通用解 密器，本质上它是一个软件模拟的c p u ，用来模拟病毒部分代码的运行，变形病 毒会在虚拟机中自动解密，解密完成后采用传统的特征值扫描技术对解密后的病 毒体明文进行特征值扫描。这样，同一种病毒无论产生多少种变形，最终在反病 毒虚拟中被还原成唯一的病毒体明文，传统的特征值扫描技术依然有效，反病毒 虚拟机在这方面发挥了强大的功能。 对抗变形病毒只是反病毒虚拟机应用的个方面，由于反病毒虚拟机能够真 正模拟病毒的运行过程，动态监控病毒的运行状态，根据运行过程中一系列异常 行为来判断病毒，其反病毒潜力是可观的，特别是检测未知病毒。因此，研究和 提高对病毒的动态检测能力是反病毒虚拟机技术发展的重要方向。另外，目前反 病毒虚拟机仅仅停留在技术上一部分实现，处于探索发展的阶段，关于它的理论 模型和计算能力分析还没有相关的结论，需要进一步研究和完善。 1 2 研究内容和目的 本论文研究的主要内容有： ( 一) 深入研究p e 病毒的原理，归纳p e 病毒具体的病毒特征，特别是深入 分析变形病毒的变形机理，阐述对抗变形病毒的反病毒技术。 ( 二) 研究和实现w i n d o w s 平台下3 2 位反病毒虚拟机，阐明反病毒虚拟机的 原理、体系结构、工作过程以及具体实现，同时对实现的反病毒虚拟机进行实验 分析，提出存在的问题和改进措施。 ( 三) 结合相关计算理论，建立反病毒虚拟机的计算模型，阐述它的功能， 证明它的可计算性，并对反病毒虚拟机检测病毒的计算复杂度进行分析，为反病 毒虚拟机建立理论依据， 本论文的目的是深入分析当前反病毒虚拟机的关键技术，认真研究p e 病毒的 原理和本质特征，设计并实现w i n d o w s 操作系统下的反病毒虚拟机，克服目前反 病毒虚拟机仅仅作为通用解密器功能的局限，提高反病毒虚拟机动态检测能力和 对未知病毒的判定能力，并且提出反病毒虚拟机的计算模型，对其可行性和计算 的复杂度进行分析，建立反病毒虚拟机相关的理论。 2 第一章引言 1 3 论文的主要结构 论文的主要结构如下： 第一章引言。介绍本论文的研究背景、研究内容、目的和论文的结构。 第二章计算机病毒概述。主要介绍计算机病毒的概念、特征、种类和当今前 沿的反病毒技术。 第三章p e 病毒原理与分析。简要阐述w i n d o w s 的p e 文件格式，采用结合实 例的方式，深入分析了p e 病毒的原理和特点，并且对变形病毒变形机理进行深入 的分析，描述当前对抗变形病毒的主要反病毒技术。 第四章反病毒虚拟机的设计与实现。阐述反病毒虚拟机的原理、体系结陶和 工作流程和具体实现过程，研究和实现反病毒引擎的设计，结合实验对反病毒虚 拟机的能力进行分析。 第五章反病毒虚拟机的一些局限和复杂度分析。探讨了目前反病毒虚拟机存 在的局限，提出改进的方向；建立了反病毒虚拟机的计算模型，并进行检测病毒 方面的复杂度分析。 第六章结论与展望。总结论文，指出存在的不足，提出未来的改进措施。 3 电子科技大学硕士学位论文 第二章计算机病毒概述 自从人类在2 0 世纪4 0 年代研制出第一台计算机，1 9 4 9 年v o nn e o m a n m 便提 出了程序自我复制的概念，指出计算机病毒产生的可能。1 9 8 3 年，第一个计算机 病毒在实验室研制成功，时至1 9 9 4 年夏，已经发现的文件型病毒4 5 0 0 种，引导 型病毒3 5 0 种，病毒总数已近5 0 0 0 种。到2 0 0 1 年底，全球已发现的计算机病毒 总数超过6 万种。3 。2 0 0 6 年的国际反病毒交流大会已经确定：当今世界已有超过 2 0 万种计算机病毒。1 。如今随着因特网的普及，计算机病毒以几何级数的速度增 长，病毒的传染范围、传染速度、传染数量不断增加，病毒也从最初的文件型病 毒，发展到宏病毒、变形病毒、网络蠕虫、特洛伊木马等一系列种类，不断对计 算机系统资源和人们的工作与生活造成日益严重的威胁和破坏。 2 1 计算机病毒的概念、特征和种类 2 1 1 计算机病毒的概念 早在1 9 8 9 年，美国的计算机病毒专家f r e d c o h e n 给出了计算机病毒的定义： 计算机病毒是一种程序，它用修改其他程序的方法将自身的精确拷贝或者可能演 化的拷贝放入其他程序，从而感染其他程序“1 。并且f r e dc o h e n 给出了计算机病 毒的一个基本程序框架“1 ： p r o g r a mv i r u s = 1 2 3 4 5 6 7 ： s u b r o u t i n ei n t b c t e x e c u t a b l e ：= l o o p ：f i l e = g e t - r a n d o m - e x e c u t a b l e f i l e ； i f f i r s t - l i n e - o f - f i l e = 1 2 3 4 5 6 7 t h e ng o t ol o o p ； p r 印e n dv i r u st of i l e ； ) s u b r o u t i n ed o - d a m a g e ：= 4 第二章计算机病毒概述 w h a t e v e rd a m a g ei st ob ed o n e s u b r o u t i n e t r i g g e r - p u l l e d ：= r e t u mt r u ei f s o m ec o n d i t i o nh o l d s m a i n = p r o g r a m ：= i n f e c t - e x e c u t a b l e ； i f t r i g g e r - p u l l e dt h e nd o d a m a g e ； g o t on e x t ； n e x t ： f r e dc o h e n 的定义说明了计算机病毒的基本原理，按照他的程序框架，计算 机病毒由传染过程、破坏过程、触发过程和主程序过程组成，病毒运行时首先执 行传染过程，然后运行触发模块，如果触发条件满足，则运行破坏模块，最后跳 转到正常程序段运行。 随着病毒技术的发展，计算机病毒的定义也开始出现变化。如d e a nd e n n i s l o n g l y 和m i c h a e ls h a i n 给出的计算机病毒的定义是：计算机病毒是特洛伊木马的 变种，是引入磁盘操作系统中的一段带有恶意目的的代码“1 。这些定义仍然没有完 全反映病毒的本质，而病毒的含义也随着病毒的发展而不断变化。目前，我国关 于计算机病毒比较权威的概念是1 9 9 4 年中华人民共和国安全保护条例中的定 义“1 ：计算机病毒是指编制或者在计算机程序中插入的，破坏计算机功能或数据、 影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 2 1 。2 计算机病毒的特征 f r e d c o h e n 的定义给出了计算机病毒三个根本的特性：传染、破坏和模拟。 ( 1 ) 传染性 传染是计算机病毒的本质特性，是判断程序是否为病毒最根本的依据。计算 机病毒的传染方式多种多样，但其本质是将自身精确的拷贝或有修改的拷贝复制 到其他文件内。计算机病毒传染的途径很多，它可以利用操作系统的功能在计算 机内进行文件感染，或者通过网络在计算机之间传染，也可以通过人为地复制文 件进行传染。 ( 2 ) 破坏性 破坏性是病毒主要的恶意功能。病毒的破坏功能多种多样，如干扰屏幕显示、 锁住键盘、破坏根扇区、破坏硬盘文件分配表、删除文件、格式化磁盘、占用磁 5 电子科技大学硕士学位论文 盘空间、占用大量内存等。大量的病毒设置触发条件，只有条件满足时才执行破 坏模块。触发的条件设置有多种方式，如日期、时间、文件类型和某些特定的数 据等。 ( 3 ) 模拟性 模拟性指病毒完成预定的功能后，往往会跳转到宿主程序的正常入口点，保 证宿主程序得到运行。目前发现的大多数病毒都具有模拟性，它是病毒隐藏自身 的一种手段。 2 1 3 计算机病毒的种类 计算机病毒的分类方式很多，如按攻击的操作系统分类可分为d o s 病毒、 w i n d o w s 病毒、u n i x 或o s 2 病毒，按寄生方式和感染途径分为引导型病毒、文 件型病毒和混和病毒等。下面主要介绍几种耳前影响较大、传染范围广、对计算 机系统破坏频繁的病毒。 ( 1 ) 文件型病毒 文件型病毒指所有通过操作系统的文件系统进行感染的病毒0 1 ，它以感染可执 行文件( b a t 、e x e 、c o m 、s y s 、d l l 、o v l 等) 为主，当用户调用染毒的 可执行文件时，病毒会得到运行并感染其他的可执行文件。自从r a l p hb u r g e r 于 1 9 8 6 年1 2 月发布v i r d e m ( 魔鬼病毒) 引发d o s 文件型病毒以来，随着计算机技 术的发展，这类病毒攻击的文件类型、涉及的操作系统和采用的技术都得到了很 大的提高，特别是w i n d o w s 操作系统3 2 位p e 可执行文件格式的出现，文件型病 毒采用的技术呈现出复杂化、多样化的趋势。 ( 2 ) 宏病毒 宏病毒与传统的病毒不同，它不感染可执行文件，而是将病毒代码以宏的形 式潜伏在微软的o f f i c e 文档中，当染毒的文档被打开时，病毒代码会被执行并产 生破坏作用。宏是一组批处理命令，是用高级语言编写的一段程序。微软o f f i c e 文档的宏语言具有强大的功能，它不仅具备访问系统的能力，而且可以直接运行 d o s 命令、调用w i n d o w sa p i 和d l l 等。如果一个宏包含具有破坏功能的命令， 并且能自我复制，该宏就是宏病毒。由于宏是使用高级语言编写，宏病毒编写过 程相对简单，而且功能强大。随着微软的o f f i c e 软件在全球范围的普及，宏病毒 已经成为传播广、危害较大的一类病毒。 ( 3 ) 特洛伊木马 6 第二章计算机病毒概述 特洛伊木马( 简称木马) 源于古希腊特洛伊战争中的木马而得名，在计算机 病毒领域它实际上是一种与远程计算机之间建立连接，使远程计算机能通过网络 控制本地计算机的程序。特洛伊木马一般采用客户服务器模式，服务器端程序安 装在被控制的计算机上，客户端由控制者使用，一旦服务器端与客户端建立连接， 客户端能通过对服务器端的本地计算机进行操作来达到远程控制的目的。客户端 操纵服务器端可能造成的破坏有：对目标计算机的文件系统进行恶意管理，如查 看、删除、移动、上传、下载、执行任何文件；进行警告信息发送、键盘记录、 获取计算机内保密信息、关闭窗口、鼠标控制、计算机基本设置等非法操作。按 照木马对计算机系统破坏的方式，它可分为远程访问木马、密码发送型木马、键 盘记录型木马、毁坏性木马和f r p 木马。木马与病毒最大的区别在于它不具有 传染性，不能自行传播，只具有破坏性。但是木马可以通过普通的病毒来传播， 如w 3 2 病毒w i n 3 2 p o l y s h o w t i m e 运行时会从网上下载和运行木马程序。 ( 4 ) 网络蠕虫 蠕虫是网络时代病毒的主流，目前带恶意流行的计算机病毒，有9 0 以上是 蠕虫病毒0 1 。蠕虫病毒和一般的病毒有着很大的区别，对于蠕虫，目前还没有一个 成套的理论体系。一般认为：蠕虫是一种通过网络传播的恶性病毒，具有病毒的 一些共性，如传播性、隐蔽性、破坏性等，同时具有自己的一些特征，例如不通 过文件寄生进行传染，而是对网络造成拒绝服务、和黑客技术相结合进行破坏等。 相比普通病毒，蠕虫病毒的破坏性范围更广，可以在短短的时间内蔓延整个网络， 造成网络瘫痪。根据使用者情况将蠕虫病毒分为两类。1 ：一种是面向企业用户和局 域网而言，这种蠕虫利用系统漏洞，主动进行攻击，可以对整个互联网可造成瘫 痪性的后果，以“红色代码”、“尼姆达”以及最新的“s q l 蠕虫王”为代表。另外一种 是针对个人用户的，通过网络( 主要是电子邮件、恶意网页形式) 迅速传播的蠕 虫病毒，以爱虫病毒、求职信病毒为代表。在这两类蠕虫中，第一类具有很大的 主动攻击性，而且爆发也有一定的突然性。第二种病毒的传播方式复杂多样，少 数利用了微软应用程序的漏洞，更多的是对用户进行欺骗和诱使，这样的病毒造 成的损失极大，并且极难根除，比如求职信病毒，在2 0 0 1 年就已经被各大杀毒厂 商发现，但2 0 0 2 年底依然排在病毒危害排行榜的首位。 7 电子科技大学硕士学位论文 2 2 当今主要的反病毒技术 2 2 1 特征值扫描技术 特征值扫描技术是基于早期计算机病毒特征发展起来的反病毒技术。最初的 计算机病毒采用简洁的设计，病毒代码没有采用加密或变形的手段，每一种新的 病毒代码代表一种新的病毒。由于每一种病毒的代码固定不变，反病毒技术人员 从病毒代码中抽取不同于其他程序的异常特征代码，称为病毒特征值，组成病毒 特征库，然后对不同的程序进行特征值扫描，如果在程序中发现有匹配的特征码， 则判定该程序是病毒。这种方法的优点是：判断病毒精度高、速度快。缺点是不 能削定未知病毒“1 。每出现一种新的病毒，反病毒技术人员需要获取新病毒的源代 码，进行认真分析，提取新的病毒特征值增加到病毒特征值库。 由于特征值扫描精度高、速度快的特点，它一直是反病毒技术发展过程中的 基础技术。对于已知的计算机病毒，现代反病毒领域采用传统的特征值扫描；对 于未知病毒，则采用现代的反病毒技术。 2 2 2 启发式分析技术 随着病毒技术的发展，变形病毒的出现是病毒发展的一次飞跃。这类病毒采 用加密变形手段，每进行一次传染，病毒体发生新的变化，可以存在无数种变形， 传统的特征值扫描技术已经存在严重的局限。为了提高对未知病毒的判定能力， 反病毒领域出现了一种新的反病毒技术：启发式分析“1 。启发式分析是通过一组规 则集，来判断一个程序是否是病毒的技术嘲。这些规则集反映了病毒的特征，如 w i n d o w s 下的p e 病毒感染程序后，可能在程序后面增加新节、修改程序的入口点 为最后一节等。任何具体同样传染方式的病毒，不论其变形的手段如何复杂、形 体有多少种变化，只要抽取到该病毒的传染规则，通过启发式分析就能准确地判 断是哪种病毒的变形。启发式分析不仅有效地对抗了变形病毒，而且提高了对未 知病毒的判断能力，只要某种未知病毒具有满足规则集的传染形式，启发式分析 技术也能准确地进行判断。 启发式分析存在的缺陷是会产生误报。由于规则集是反病毒技术人员在认真 分析大量病毒特征的基础上提取的，并且为每条规则规定相应权值，扫描过程中 只要权值总和到达或超过某一阙值，即可判断该程序是病毒。某些正常的程序也 可能满足一定的规则被判断为病毒，如有些正常加密、加壳的程序等。 第二章计算机病毒概述 2 2 3 行为阻断技术 计算机病毒的传染在某一特定的操作系统平台往往采用一致的系统调用接 口，如w i n d o w s 下病毒进行传染一般通过c r e a t e f i l e 、r e a d f i l e 、w r i t e f i l e 等这些 a p i 函数实现。行为阻断“1 是对病毒传染破坏采用的系统调用接口进行监控，来达 到阻止病毒传染的技术。例如病毒打开一个文件进行写的操作，行为阻断技术会 显示一个对话框，提示用户是否允许进行写文件操作。行为阻断技术对病毒的传 染行为进行了有效的监控，并且在用户的配合下很好地抑制了病毒的传染。但该 技术也存在较大的缺陷：一是会产生过多的提示，正常程序的合理操作也在监控 的范围内，这对用户来说是难以接受的；二是实现的技术相对复杂，同时需要操 作系统提供较好的内存保护；三是如果病毒直接跳转到操作系统的核心级进行传 染，行为阻断技术将是无效的，如c i h 病毒直接采用了内核驱动v x d 的方式。 2 2 4 系统调用分析 目前，采用内核驱动形式运行的病毒还极为少见，一方面是操作系统的发展 对计算机的底层硬件进行了更好的封装，实现了更好的安全机制，病毒直接进入 核心级进行操作已经相对困难；二是采用内核驱动的形式编写病毒技术难度较大。 由于这些原因，目前的计算机病毒主要运行在用户级，利用操作系统提供的a p i 函数完成病毒的功能。病毒与正常程序使用的a p i 函数组合存在一定的差异，这 是基于a p i 系统调用分析踟反病毒技术实现的依据。当前这种技术主要用在 w i n d o w s 平台，首先建立符号库，存储所有已知w i n d o w s 病毒的a p i 调用序列， 为了判断某个程序是否是病毒，需要得到该程序的a p i 调用序列，然后和符号库 中的每条a p i 调用序列进行相似度尺度，如果满足某一阙值，判断该程序为病毒“。 由于w 3 2 病毒，一般都需要调用w i n d o w s 系统的a p i 函数来完成病毒的功能，并 且病毒调用的a p i 函数具有相似性，如感染文件会用到f i n d f i r s t f i l e 、f i n d n e x t f i l e 、 f i n d c l o s e 、c r e a t e f i l e 、r e a d f i l e 、w r i t e f i l e 等a p i 函数，因此不论是已知病毒还 是未知病毒，只要调用这些a p i 函数，就能被系统调用分析技术检测到，这无疑 提高了对未知病毒的判断能力。 这种方法也存在一定的缺陷：首先是程序a p i 调用序列的获取，一般的p e 程序 输入表存储了所有需要调用的a p i 函数信息，但p e 病毒一般没有输入表，丽是在运 行过程中直接从内存中搜索a p i 函数地址进行调用，因此要获得这些病毒的a p i 调 用序列，需要虚拟机技术的支持。二是相似性尺度也存在误差，并不是精确的判 9 电子科技大学硕士学位论文 断。目前常用的衡量序列相似性的方法有：c o s i n e m e a s u r e 、e x t e n d e dj a c e a r d m e a s u r e 和p e a r s o nc o r r e l a t i o nm e a s u r e 【1 0 】，这些方法进行的a p i 调用序列分析并不能完美反 映病毒的a p i 调用特征，因此系统调用分析也可能存在误报。三是其反病毒的范围 有限，目前主要用于检钡t j w i n d o w s 平台下的可执行程序，对宏病毒、脚本病毒、网 络病毒等能力有限。 2 2 5 反病毒虚拟机技术 虚拟机技术“”应用于反病毒领域是反病毒技术的重大突破，它能模拟一个程 序的运行环境，病毒在其中运行如同在真实的环境中一样，这样就不断显露它的 病毒特征，这是一种极其理想的反病毒方式，尤其检测未知病毒。目前，反病毒 虚拟机不同于v m w a r e 和v i r t u a lp c 这些完全仿真计算机资源的虚拟机，它仅仅是 一个虚拟c p u 和部分系统功能的模拟，目标仅仅限于模拟可执行文件的运行，反 病毒界又称之为通用解密器。反病毒虚拟机最初用于对抗变形病毒，这类病毒能 产生无数种变形，但其运行前会进行解密，并且同一种病毒的无数种变形解密后 的病毒体明文是相同的，因此只要模拟病毒的解密过程，就能还原出病毒体明文， 然后采用传统的特征值扫描技术进行扫描，反病毒虚拟机在这方面发挥了强大的 功能。 除了上面介绍的反病毒技术外，还有其他一些反病毒手段，如访问控制“1 、完 整性校验“1 、以及近年发展的主动内核技术“2 1 等。由于病毒采用技术手段的多样化， 特别是网络的普及，计算机病毒扩散的范围、扩散的速度、产生的数量不断增长， 现代的反病毒软件是多种反病毒技术融合的结晶，呈现多层次、多元化的趋势。 2 3 本章小结 本章主要介绍了计算机病毒的基本知识，包括概念、特征和种类等，并阐述 了几种当今主要的反病毒技术：特征值扫描、启发式分析、行为阻断、系统调用 分析和反病毒虚拟机技术，分析了这些反病毒技术的优点和缺陷，并结合当前病 毒的发展探讨了当前反病毒技术发展的特点。 1 0 第三章p e 病毒原理与分析 第三章p e 病毒原理与分析 3 1p e 病毒的基本原理 随着计算机硬件技术和操作系统的发展，w i n d o w s 也从1 6 位发展到当前广泛 使用的3 2 位操作系统，相应的可执行文件也从1 6 位的n e 格式转变为3 2 位p e 文 件格式，病毒技术也相应发生变化，从传统的d o s 病毒、1 6 位w i n d o w 病毒逐渐 转变到以传染和破坏3 2 位p e 文件为主的p e 病毒上来，这类病毒采用的技术更加 复杂，同时随着变形技术的成熟，给反病毒技术带来更大的挑战。深入分析p e 病 毒的基本原理，研究其主要特征，是对抗p e 病毒的前提。 3 1 1p e 文件基本格式 p e 文件格式“”是m i c r o s o f t 推出的3 2 位可执行文件与动态库文件格式，它的 层次结构如图3 - 1 ： d o sm 【zh e a d e r d o ss t u b p eh e a d e r s e c t i o nt a b l e s e c t i o nl s e c t i o n2 s e c t i o nn 图3 - 1p e 文件格式图 电子科技大学硕士学位论文 p e 文件以一个简单的d o sm z h e a d e l 开始，当程序在d o s 下执行时，d o s 能识别出这是有效的执行体，然后运行d o sm zh e a d e r 之后的d o ss t u b 。d o ss t u b 实际上是个有效的e x e ，在不支持p e 文件格式的操作系统中，它将简单显示一 个错误提示。p eh e a d e r 是结构i m a g en th e a d e r s 的简称，其中包含p e 装 载器用到的重要域。p e 文件的真正内容划分成块，称之为s e c t i o n ( 节) ，每节是 一块拥有共同属性的数据，比如代码数据、读写等。s e c t i o nt a b l e ( 节表) 包含各 个节的属性、文件偏移量、虚拟偏移量等，节表之后为各个节的具体数据，如代 码节( t e x t ) 、数据节( d a t a ) 、输入数据节( i d a t a ) 、资源节( i s i c ) 等。 p e 文件格式包含了p e 文件所有重要的信息，w i n d o w s 操作系统根据这些信 息加载程序并建立程序的运行环境。例如操作系统根据p eh e a d e r 信息获得程序的 装载基地址、代码入口点、节表数目等一系列关键数据，同时根据节表s e c t i o n t a b l e 确定程序内存空间的布局等。不仅操作系统需要根据p e 格式来加载