第5章 商业安全软件的常用技术

商业安全软件的常用技术,刘功申上海交通大学信息安全工程学院,本章学习目标,了解恶意代码防治的现状掌握常用病毒防治技术了解病毒防治技术的缺陷,本章内容,恶意代码防治技术的进展商业软件采用的防治技术现有防治技术的缺陷,1恶意代码防治技术的进展,检测:单特征代码多特征代码清除：具体案例具体分析加壳,防治技术历史总结,第一代防治技术采取单纯的特征代码诊断，但是对加密、变形的新一代恶意代码无能为力。第二代防治技术采用静态广谱特征扫描技术，可以检测变形恶意代码，但是误报率高，清除风险大。第三代防治技术将静态扫描技术和动态仿真跟踪技术相结合。,第四代防治技术基于多位CRC校验和扫描机理、启发式智能代码分析模块、动态数据还原模块(能查出隐蔽性极强的压缩加密文件中的恶意代码)、内存清除模块、自身免疫模块等先进技术，能够较好地完成查杀任务。第五代防治技术主要体现在反蠕虫、木马等方面。这一代技术作为一种整体解决方案出现，形成了包括漏洞扫描、恶意代码查杀、实时监控、数据备份、个人防火墙等技术的立体防治体系。,2商业软件采用的防治技术,内存检测技术广谱特征码虚拟机技术驱动程序技术云查杀技术无缝连接技术检查压缩文件沙盘技术启发式扫描技术PE病毒的启发式特征网络立体防御技术,（1）内存检测技术,恶意代码一旦被装入内存并成为活跃进程后，它就可以用隐藏技术（很多恶意代码都采用隐藏技术）来躲避扫描器。内存扫描DOS非常简单Windows用户模式ReadProcessMemory，OpenProcess，TerminateProcess等实模式,（2）广谱特征码,从本质上讲，广谱特征码仍旧是特征码，只是在其基础上稍加变通而已。为了对付多态性恶意代码广谱特征码的获取采用分段的，中间可以包含任意的内容(例如掩码字节)的特征码。,（3）虚拟机技术,接近于人工分析的过程原理用程序代码虚拟出一个CPU来，同样也虚拟CPU的各个寄存器，甚至将硬件端口也虚拟出来，用调试程序调入“病毒样本”并将每一个语句放到虚拟环境中执行，这样我们就可以通过内存和寄存器以及端口的变化来了解程序的执行，从而判断是否中毒。加密、变形等病毒,主要执行过程：在查杀病毒时，在机器虚拟内存中模拟出一个“指令执行虚拟机器”；在虚拟机环境中虚拟执行（不会被实际执行）可疑带毒文件；在执行过程中，从虚拟机环境内截获文件数据，如果含有可疑病毒代码，则说明发现了病毒。杀毒过程是在虚拟环境下摘除可疑代码，然后将其还原到原文件中，从而实现对各类可执行文件内病毒的杀除。,（4）驱动程序技术,DOS设备驱动程序VxD（虚拟设备驱动）是微软专门为Windows制定的设备驱动程序接口规范。NT核心驱动程序WDM（WindowsDriverModel）是Windows驱动程序模型的简称。作用：开发监控程序、接近系统内核的程序,（5）云查杀技术,云计算（cloudcomputing），一种分布式计算技术，其最基本的概念，是透过网络将庞大的计算处理程序自动分拆成无数个较小的子程序，再交由多部服务器所组成的庞大系统经搜寻、计算分析之后将处理结果回传给用户。旧的依赖客户个人计算机的杀毒模式可能已经走到了尽头。现在提出的所谓“云安全”其实就是把原来放在客户端的分析计算能力转移到了服务器端，从而使得客户端变轻了。,（6）无缝连接技术,嵌入式杀毒技术无缝连接是在充分掌握系统的底层协议和接口规范的基础上，开发出与之完全兼容的产品的技术。应用实例右键快捷方式硬盘格式的支持Office套件的支持等,（7）检查压缩文件技术,压缩文件是病毒的重要藏身地之一。杀毒思路：第一种：压缩病毒码第二种：先解压后查毒（需要虚拟执行技术）,（8）沙盘技术,让可执行文件都在沙盘程序中运行，当这个程序发生改变，它只是在这个沙盘中改变，对真实的系统不会造成任何改变。沙盘和虚拟机的区别：沙盘：利用现有操作系统，只是监控并改写恶意程序的读写途径虚拟机：虚拟出一个软件系统,（9）启发式扫描技术,启发式指的“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。”一个运用启发式扫描技术的病毒检测软件，实际上就是以特定方式实现的动态跟踪器或反编译器，通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。,例如，一段程序以如下序列开始：MOVAH,5INT13h该程序实现调用格式化盘操作的BIOS指令功能，那么这段程序就高度可疑值得引起警觉，尤其是假如这段指令之前不存在取得命令行关于执行的参数选项，又没有要求用户交互地输入继续进行的操作指令时，可以有把握地认为这是一个病毒或恶意破坏的程序。,可疑的功能：格式化磁盘类操作搜索和定位各种可执行程序的操作实现驻留内存的操作发现非常的或未公开的系统功能调用的操作等等。不同的操作赋予不同的权值,（10)PE病毒的启发式特征,以PE文件型病毒，列举用启发式方法检测PE文件病毒需要关注的特征。代码从最后一节开始执行节头可疑的属性可选头部的有效尺寸的值错误节头部错误可疑的代码重定向可疑的代码节可能的头部感染来自Kernel32的可疑导入表项,导入地址表被修改多个PE头多个程序头部可疑地址调用内核查询内核的完整性把节装入VMM地址空间SizeOfCode域取值错误,（11）网络立体防御技术,网络的复杂性-网络病毒防御技术用户桌面、工作站、服务器、Internet网关和病毒防火墙等各个层次进行防护：用户桌面的防护：桌面系统和远程PC是主要的病毒感染源。Internet网关的防护。群件和电子邮件是网络中重要的通信联络线。防火墙的防护。在防火墙上过滤多种协议的病毒。基于工作站的防治技术。工作站就像是计算机网络的大门，只有把好这道大门，才能有效防止病毒的侵入。,基于服务器的防治技术。网络服务器是计算机网络的中心。加强计算机网络的管理。管理手段，而非技术手段。技术被动防御，管理上积极主动硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度对管理员及用户加强法制教育和职业道德教育应有专人负责具体事务，跟踪行业新技术,先进的网络多层病毒防护策略具有三个特点：层次性在用户桌面、服务器、Internet网关以及病毒防火墙安装适当的防毒部件，以网为本、多层次地最大限度地发挥作用。集成性所有的保护措施是统一的和相互配合的，支持远程集中式配置和管理。自动化系统能自动更新病毒特征码数据库、杀