计算机病毒密码算法检测系统浅析

计算机病毒密码算法检测系统浅析

摘要：本文基于密码算法设计了计算机病毒检测系统，详细分析了密码算法,并进行了

系统测试。结果发现，此系统不仅可自动迅速识别计算机病毒内的密码算法，还可准确跟踪

检测计算机病毒运行时的密码算法调用与加密过程，同时可由病毒加壳、加密通信、加密文

件等视角分析以全面刻画病毒。

关键词：计算机病毒；密码算法；病毒检测；静态特征；动态行为

0引言

随着计算机技术的快速发展，人们的日常生产牛活发生了巨大转变，也获得了各种便捷，

从而演变成了现代化社会最不可获取的部分。但是计算机系统的安全性依旧有待提高，其不

安全因素主要有计算机信息系统自身与人为操作，而计算机病毒是最常见且最不安全的因

素，病毒的存在不仅会造成资源与财富浪费，还会导致社会性灾难。并且在互联网技术的大

范围普及下，邮件、脚本、网页、木马、蠕虫等病毒愈发泛滥，计算机用户随时随地可能会

遭遇攻击，所以采用多元化算法与技术检测并预防计算机病毒已是必然趋势［1］。据此本文

基于密码算法设计了计算机病毒检测系统，以期能够为防控病毒做出一定贡献。

1密码算法分析

密码算法可保护并认证数据，通常用于为计算机提供安全防护，但是密码算法实际上一

把双刃剑，其在提供安全保护的同时，很多攻击者也会利用密码算法逃避安全部门的追踪检

测，导致有关调查取证工作难以有序开展，从而严重威胁着网络安全与社会和谐［2］。一般

情况下，密码算法主要基于加壳免杀、加密通信、加密勒索方式散播计算机病毒。其中加壳

免杀方式会隐藏病毒特性,无法以静态特征码识别并查杀病毒；加密通信方式会通过HTTP

协议伪装为网页，以此绕过防火墙入侵计算机；加密勒索方式的破坏性更巨大，此方式下散

播的病毒会直接导致用户的计算机文件访问异常，给用户带来不可挽回的损失。比特市勒索

病毒便是以加密勒索方式攻击了数百万计算机，支付赎金用户上万，用户根本无法获取解密

私钥，无法石,很多用户只能通过支付赎金的方式获取密钥。现阶段基于密码算法的计算

机病毒依旧在蔓延，对此如何有效迅速地检测并分析病毒的工作已经迫在眉睫，但是空前计

算机病毒密码算法的自动化系统研究仍旧亟待深入［3］。

2计算机病毒结构模式分析

虽然当前的计算机病毒逐渐海量化，类型也逐步复杂化，但基于病毒程序代码分析，对

比可知大部分病毒程序均是由引导模块、传染模块、破坏表现模块共同组成的。计算机病毒

结构模式⑷具体见图L

3计算机病毒密码算法检测系统设计

3.1系统架构

计算机病毒密码算法检测系统整体架构具体见图2。用户通过传输待分析病毒文件于系

统中，经过三种算法检测之后生成最终分析结果［5-6］。第一环节，加壳算法检测。基于加

壳指纹特征库和PE文件信息烯相结合的方式，可保障计算机病毒加壳算法识别精确度。其

中已知壳需构建指纹特征轧以指纹特征匹配可迅速精准地检测出既知病毒使用的加壳算

法；而未知壳由于加壳会造成文件数据信息熔增高，对此可通过PE文件信息熠方式对病毒

进行检测，以得知是否加壳。第二环节，静态特征密码算法检测。以病毒静态特征的详细分

析实现密码算法和静态特征的映射建设，通过算法特征匹配检测病毒所使用的加密算法.第

三环节,动态行为加密算法检测。一般情况下病毒为了逃避追踪检测，会采取加壳或指令转

变技术隐匿算法的静态特征码这时便可基于静态检测分析进行算法动态分析与实时跟踪,

从而提升密码算法检测精确度。

3.2密码算法

3.2.1加壳检测算法分析与实验。算法分析。传统静态加壳技术影响下，加壳病

毒执行过程中会具备相同编码，所以检测与破解难度较小。为满足计算机病毒防护需求，攻

击者提供了动态加壳技术理念，以随机加密算法，加密病毒程序代码与数据。为生成各种特

征加密壳,通过随机密钥加密算法可实现多态引擎技术，基于保障同功能病毒样本，以新方

式生成不同病毒代码序列，且序列中的特征码完全不同，从而导致单一特征码匹配检测技术

逐渐失去了效用。321.2检测实验。通常基于UPX加壳算法指纹特征匹配模式进行已知壳

检测，结果具体见图3。由图可以看出，UPX加壳算法能够迅速且准确地识别病毒为64为

可执行程序，且可通过IPX实现加壳处理。检测未知壳的时候利用以信息燧检测技术研发

检测仪器,检测结果具体见图4。由图可以看出，第一个样本评估为加壳，第二个样本评估

为未加壳，准确率较高。3.2.2静态特征密码检测算法分析与实验。算法分析。青睛

特征密码检测算法即基于提取算法所需静态特征码，以标识密码算法。所以特征码提取合理

性在很大程度上决定了密码算法识别准确率。就原理不同主要划分为Hash函数、分组密码

算法、公钥密码算法三种算法。Hash函数密码算法主要利用初始链值进行加密数据处理分

析，即算法使用的初始链值保持不变的状态下，以这些数据为静态特征；分组密码算法则通

过S盒和置换盒等常数发挥辅助作用，其中S盒负责混淆视听，定义为静态数值，就AES

算法来讲若病毒文件匹配到了S盒，则病毒可能使用了AES算法；公钥密码算法中的RSA

算法在生成密钥的时候需采用2个大素数，而大素数的生成以小素数表为载体，所以此特

征可在RSA算法中得以应用.3.222检测实验.通过静态特征密码检测算法原理进行特征

提取，并将其输入到IDA密码算法检测插件特征库中。就AES算法来讲，S盒作为16x16

数组，在内存内可存储为256长度字符串。AES字节替代是关于字节的非线性变换，可通

过可逆变换复合生成。首先计算字节E于有限域内的乘法逆元，结果记录为

F=f0flf2f3f4f5f6f7,规定字节00变化成自身；其次对结果F进行仿映射变换，字节E替

4系统测试

以WannaCry勒索病毒为例进行计算机病毒密码算法检测系统测试。WannaCry是一

种蠕虫式勒索病毒软件，在2017年爆发时，大量高校与企业内网遭遇感染，甚至部分政府

机构业务被迫中断。此病毒加密设计匕匕较复杂，切实结合了RSA算法密位属性、价格、座

位号。如果可订，可用航班及其可订座位属性信息将流向捆绑销售规则配置模块。步骤三：

捆绑销售规则配置模块，是航空公司业务人员事先配置完成的捆绑产品规则，支持配置特定

属性的座位与特定机票品牌捆绑形成一个产品销售单位，例如“长腿位"和"超值经济舱"

可以捆绑且限量20个，"长腿位"和"豪华商务舱"不可捆绑；若步骤二中查出可被捆绑

的座位属性，系统将出行用户选定的航班下可用于捆绑的品牌和座位，组成该品牌机票+座

位的捆绑产品，例如“长腿位"加"超值经济舱”是一个销售单位，在前端展示给出行用户；

捆绑产品经过捆绑销售调价配置模块的价格管道处理，生成专属价格，例如配置了整体减价

50元，那么捆绑产品的价格等于机票总价与长腿位总价之和为1550元（不含税），减去

50元后，为出行用户展示该捆绑产品价格为"1500元"（不含税）；以及为出行用户展示

捆绑产品详情及优惠金额，前文提到的整体减价50元，将以"立省50元”类似的方式在

前端展示给出行用户；不同常旅客等级可能享受不同的优惠金额，例如配置了金卡用户折上

再8折，该出行用户身份为金卡用户，在前端展示"1200元”（不含税）、"金卡立省300

元"的醒目提示。步骤四：在捆绑产品选购模块中，每个捆绑产品旁都有一个预订按钮,出

行用户可一键选择心仪的品牌机票加座位的捆绑产品，继续后续预订流程”点击预订后，系

统将机票和座位产品都加入订单信息中，记录机票和座位属性的详细信息。之后进入出行用

户信息填写页，需要为每一个出行用户填写姓名、证件类型、证件号、联系方式等信息，填

写完毕并确认后，系统根据捆绑产品中的座位属性，在之后的选择座位页面中,以座位图的

样式向出行用户开放该座位属性对应可选座位区域，出行用户在区域范围内选择具体座位，

点击座位图标即可确认座位，将座位号加入订单信息中。待出行用户完成确认航班信息和座

位号后，系统即将正式生成订单，继续步骤五的支付和预订操作。若出行用户改变主意，不

想购买该捆绑产品，可与前端的特定按钮交互，返回原来的品牌机票流程，继续选购机票产

品。步骤五：系统生成订单后，出行用户进行支付操作，支付成功的状态下，系统的捆绑产

品预订模块收到支付成功状态后，立刻向中国航信订座系统和EMD系统发出预订请求，后

台系统根据预订请求，对出行用户所选的机票、座位产品分别进行出票。待中国航信订座系

统、EMD系统完成出票并回传预订成功信息至该系统后，系统判断捆绑产品整体预订成功，

在前端页面向旅客展示预订成功信息及订单信息。至此，该系统所有涉及的模块的工作实现

介绍完毕，全流