计算机安全-2.3病毒防御技术

计算机安全技术病毒防御技术第三节病毒防御技术一、文件扫描与分析技术二、内存扫描与杀毒技术三、蠕虫拦截技术四、计算机病毒的清除人类为防治病毒所做出的努力及结论网络安全网络版单机版防病毒卡结论：人类将与病毒长期共存。病毒防治技术的现状目前广泛应用的3种技术比较法特征码扫描法虚拟执行技术文件实时监控技术（1）比较法比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较。用这种比较法还可以发现那些尚不能被现有的查病毒程序发现的计算机病毒。比较法的优点是简单、方便和不需专用软件，缺点是无法确认病毒的种类名称。另外，当找不到原始备份时，用比较法就不能马上得到结论。（2）特征搜索法搜索法是用每一种病毒体含有的特定字符串对被检测的对象进行地扫描。如果在被检测对象内部发现了某一种特定字串，则表明发现了该字符串所代表的病毒。国外把这种按搜索法工作的病毒扫描软件叫Scanner。病毒扫描软件由两部分组成：一部分是病毒代码库，含有经过特别选定的各种计算机病毒的代码串；另一部分是利用该代码库进行扫描的扫描程序。病毒反特征扫描的方法：代码加密，变形，反跟踪等（3）虚拟执行技术虚拟执行技术，通过代码仿真实现病毒检测。这种技术实现了一个虚拟机来仿真CPU和内存管理系统，进而模拟代码执行过程。这种技术是检测多态病毒的最强有力的方法，可以适用于多层加密的变形病毒。也可以检测新病毒。缺点虚警率较高主动防御技术（4）文件实时监控在真实操作系统上运行的一种“虚拟子系统”，其想法是让不受信任的程序在一个虚拟机上运行，而虚拟机只能访问本机上的能访问的信息在虚拟机上的副本，不受信任的程序不能读取真实系统中的文件。当该程序试图对系统做任何修改时，实际上是对虚拟系统上的副本文件的修改。2基于特征的分析方法主要分为三种方法第一代扫描器：字符串特征第二代扫描器：近似精确扫描方法算法扫描方法：特定病毒的专用扫描检测方法第一代扫描器字符串扫描是检测计算机病毒最简单的方法，它使用从特定病毒中提取出的特征字节序列进行检测。0400B801020E07BB000233C98BD1419C

第一代扫描器的技术通配符0400B801020E07BB??02%333C98BD1419C通用检测法允许字符串中有N个字节为任意值散列技术书签技术特征码+特征码出现的位置代码定位首尾扫描，入口点和固定点扫描第二代扫描器智能扫描方法----对付病毒的变异忽略程序中像NOP这样无用的指令近似精确识别法采用两个特征字符串，检测到一个认为是变种采用散列算法：如KAV，不使用字符串，依赖于密码校验和（对一个对象中两个预先设定的起始位置和字节范围进行计算得到）算法扫描方法当标准扫描算法不能处理某个病毒时，就必须编写新的代码来实现该病毒的特定检测算法。算法扫描是对付特别病毒、新病毒的有效方法。算法扫描是一段特殊的程序，专门对付某类病毒。为了提高稳定性，一般采用虚拟机技术类似JAVA过滤法随着病毒数目的增多，病毒特征码数量也在增多，为了解决搜索效率，对病毒特征进行分类。过滤技术背后的思想是：病毒通常只感染一部分已知对象类型。引导型病毒只感染引导扇区可以为特征字符串设置附加的标志字段，以指示该特征字符串是否可能在当前正被扫描的对象中出现。为了对付特征码扫描，病毒采用加密等技术来实现逃避。扫描法的特点优点检测方便快速，可识别病毒名称，误报警率低。缺点特征选择困难无法检测新病毒无法有效对付多态病毒特征库增加时，检测效率降低。代码仿真（虚拟机）

在反病毒界也被称为通用解密器一种强大的病毒检测技术，这种技术实现了一个虚拟机来仿真CPU和内存管理系统，进而模拟代码执行过程。对付加密病毒有效：由于多态病毒会自己解密，因此只要仿真过程足够长，病毒代码的明文自然就会出现。工作原理加密变形病毒的检测用传统的静态特征码扫描技术显然已经不行了。为此我们采取的方法是动态特征码扫描技术所谓“动态特征码扫描”指先在虚拟机的配合下对病毒进行解密，接着在解密后病毒体明文中寻找特征码。我们知道解密后病毒体明文是稳定不变的，只要能够得到解密后的病毒体就可以使用特征码扫描了。要得到病毒体明文首先必须利用虚拟机对病毒的解密子进行解释执行，当跟踪并确定其循环解密完成或达到规定次数后，整个病毒体明文或部分已被保存到一个内部缓冲区中了。虚拟机之所以又被称为通用解密器在于它不用事先知道病毒体的加密算法，而是通过跟踪病毒自身的解密过程来对其进行解密。病毒出招：反虚拟执行技术首先是插入特殊指令技术，即在病毒的解密代码部分人为插入诸如浮点，3DNOW，MMX等特殊指令以达到反虚拟执行的目的。尽管虚拟机使用软件技术模拟真正CPU的工作过程，它毕竟不是真正的CPU，由于精力有限，虚拟机的编码者可能实现对整个Intel指令集的支持，因而当虚拟机遇到其不认识的指令时将会立刻停止工作。但通过对这类病毒代码的分析和统计，我们发现通常这些特殊指令对于病毒的解密本身没有发生任何影响，它们的插入仅仅是为了干扰虚拟机的工作，换句话说就是病毒根本不会利用这条随机的垃圾指令的运算结果。这样一来，我们可以仅构造一张所有特殊指令对应于不同寻址方式的指令长度表，而不必为每个特殊指令编写一个专用的模拟函数。有了这张表后，当虚拟机遇到不认识的指令时可以用指令的操作码索引表格以求得指令的长度，然后将当前模拟的指令指针（EIP）加上指令长度来跳过这条垃圾指令。病毒出招：反虚拟执行技术其次是结构化异常处理技术，即病毒的解密代码首先设置自己的异常处理函数，然后故意引发一个异常而使程序流程转向预先设立的异常处理函数。这种流程转移是CPU和操作系统相互配合的结果，并且在很大程度上，操作系统在其中起了很大的作用。由于目前的虚拟机仅仅模拟了没有保护检查的CPU的工作过程，而对于系统机制没有进行处理。所以面对引发异常的指令会有两种结果：其一是某些设计有缺陷的虚拟机无法判断被模拟指令的合法性，所以模拟这样的指令将使虚拟机自身执行非法操作而退出；其二虚拟机判断出被模拟指令属于非法指令，如试图向只读页面写入的指令，则立刻停止虚拟执行。通常病毒使用该技术的目的在于将真正循环解密代码放到异常处理函数后，如此虚拟机将在进入异常处理函数前就停止了工作，从而使解密子有机会逃避虚拟执行。因而一个好的虚拟机应该具备发现和记录病毒安装异常过滤函数的操作并在其引发异常时自动将控制转向异常处理函数的能力。病毒出招：反虚拟执行技术再次是入口点模糊（EPO）技术，即病毒在不修改宿主原入口点的前提下，通过在宿主代码体内某处插入跳转指令来使病毒获得控制权。通过前面的分析，我们知道虚拟机扫描病毒时出于效率考虑不可能虚拟执行待查文件的所有代码，通常的做法是：扫描待查文件代码入口，假如在规定步数中没有发现解密循环，则由此判定该文件没有携带加密变形病毒。这种技术之所以能起到反虚拟执行的作用在于它正好利用了虚拟机的这个假设：由于病毒是从宿主执行到一半时获得控制权的，所以虚拟机首先解释执行的是宿主入口的正常程序，当然在规定步数中不可能发现解密循环，因而产生了漏报。内存扫描与杀毒病毒一旦被装入内存并成为活跃进程后，他就可以用隐藏技术来避免被扫描器发现，另外还可以监控病毒文件，防止被删除。另外有些病毒不生成文件，比如某些蠕虫只在内存中存在。CodeRed蠕虫。病毒一个特征：让病毒驻留内存并截获操作系统的调用，就可以更快的传播。病毒出招：内存扫描攻击加密：在内存中的代码是加密过的。植入：攻击者可以同时在多个进程中植入病毒代码。多个副本，相互保护：多个副本进程，互相监测对方进程的状态。攻击者通过挂钩到反病毒软使用的接口来实现一些内存隐藏技术。行为检测与实时监控利用病毒的特有行为特性监测病毒的方法成为行为检测发。通过对病毒多年的观察和研究，人们发现有一些行为是病毒的共同行为，而且比较特殊。对可执行文件进行修改病毒程序与宿主程序的切换动作。病毒传染时的行为特征实时监控技术实时监控的实现主要依赖于内核模式驱动编程，拦截IRP，驱动与ring3下客户程序的通信（命名的事件与信号量对象）三项技术。只有工作于系统核心态的驱动程序才具有有效地完成拦截系统范围文件操作的能力主动防御技术完整主动防御技术包含三个层次：资源访问规则控制；资源访问扫描；程序活动行为分析引擎，其中尤其以行为分析引擎技术最为关键。由于行为分析引擎技术不成熟，集成了主动防御的杀毒软件需要过多的用户参与，要求用户选择是“放过”还是“拒绝”某个程序的动作，这样反而给用户带来了困扰。主动防御技术的层次划分主动防御第一层：资源访问规则控制资源访问规则是主动防御的第一层，也是其最为基础的部分，主动防御的基本功能，就依赖于此层来展开。它通过对系统资源（注册表、文件、特定系统API的调用、进程启动）等进行规则化控制，阻止木马、病毒等恶意程序对这些资源的使用，从而达到抵御未知病毒攻击的目的。文件监控、注册表监控、内存监控等都属于这个层次。主动防御第二层：监控扫描层资源访问扫描是主动防御的第二个层次，通过监控对一些资源，如文件、引导区、邮件、脚本的访问,并使用拦截的上下文内容（文件内存、引导区内容等）进行威胁扫描识别的方式，来处理已经经过分析的恶意代码。邮件监控（反病毒、反垃圾）、网页监控、文件监控都属于这一层，这一层主要解决邮件病毒、网页挂马等等问题主动防御第三层（智能分析层）：进程行为分析引擎+DNA识别这一层是主动防御技术核心中的核心，具有很高的技术门槛，有些类似反病毒行业的“歌德巴赫猜想”。按照理论来讲，病毒可以根据代码数据特征码判定，也可以根据它的程序行为表现（即行为特征）判定，前者就是“特征码查杀”，是应用广泛的传统技术；后者在理论上可以做到，实际操作中很难用程序来准确判定，往往需要用户进行参与，对用户的技术水平要求很高，所以一直停留在实验室阶段，不能投入大规模的实际应用功能列表反病毒产业通用反病毒解决方案的市场总额在2003年为270亿美元，在2004年为330亿美元；预计到2005年会达到380亿美元（这里以及后面的数据都来源于IDC，2005）。所有的厂商可以分为第一阵营（领先）、第二阵营（中游）和占市场份额不大甚至微乎其微的公司。属于领先阵营第二阵营公司

销售额,百万美元

2003

2004

Sophos(英国)

97

116

PandaSoftware(西班牙)*

65

104

ComputerAssociates(美国)

61

74

F-Secure(芬兰)

36

51

Norman(挪威)

23

31

AhnLab(韩国)

21

28

卡巴斯基实验室（俄罗斯）也处于反病毒厂商的第二阵营第三阵营*Alwil—Avast(捷克)

*Arcabit—MKS(波兰)

*DoctorWeb—DrWeb(俄罗斯)

*ESET—NOD32(斯洛伐克)

*FriskSoftware—F-Prot(冰岛)

*GriSoft—AVG(捷克)

*H+BDV—AntiVir(德国)

*Hauri—VIRobot(韩国)

*SoftWin—BitDefender(罗马尼亚)

*VirusBuster—VirusBuster(匈牙利)

同时还有乌克兰的UNA和Stop!，中国的Rising和KingSoft

等。病毒数量早期大多数的新病毒可能用户根本没有机会感染，因为病毒作者都是些青少年，而编写它们的目的就是为了炫耀或是满足好奇心。需要提防的病毒仅仅是一部分（ITW—in-the-wild），即对系统造成损害的那些。现在的情形就不是这样了。大多数（超过75%）的恶意程序都是由地下计算机犯罪分子制作，他们编写的目的就是感染网络上的大量的计算机。每天出现的新病毒和木马更是要以百来计数（我们实验室每天都会收到200-300个新样本）。许多反病毒公司都难以赶上恶意程序数量和变种的增长速度病毒样本主要来源自动蜜罐系统（honeypots—专门负责收集网络上的恶意程序文件）、被感染的用户、局域网的管理员、互联网服务提供商和其它反病毒公司。在发现新的危险的、传播迅速的病毒后，反病毒公司会迅速通知其它同行对手并发送病毒样本。大多数反病毒公司每个月都要向同行公司发几次这样的样本。使用杀毒软件带来的问题1.更新现代恶意程序的高速传播迫使反病毒公司更为频繁地更新--以此来最为迅速地使自己的用户免受新病毒的折磨。远非所有的反病毒公司都能如此迅速。那样的公司提供给用户的更新往往都为时已晚。尽管用户安装了某反病毒软件，但仍有更为厉害的病毒感染了系统，而此反病毒一点也没有发觉（也许是用户没有及时下载更新到最新的病毒库）使用杀毒软件带来的问题2.从被感染的系统中删除查出的恶意代码。病毒和木马通常都会有一些特别的动作来将自己在系统中隐藏起来，或者把自己深深地嵌入到系统中，这样要想把它从系统里抠出来就会相当困难。有时反病毒程序并不能完全成功地、不留任何后遗症地杀掉恶意程序并修复系统。再有，任何程序都需要系统资源。反病毒程序也不例外。为了保护计算机，反病毒程序就需要进行一些操作：打开文件、从中读信息、解压缩包进行检查等等。检查得越仔细，耗的系统资源就越多（就像一扇铁门，铸进的铁越多、做得越厚就保护得越好，但是开关起门来就会更加费劲）。这就引出了一个需要权衡的问题：是要更全面的保护还是要更高的效率。使用杀毒软件带来的问题3.对资源请求的权衡。实践证明，所有跑起来很快的反病毒程序，它们的疏漏也是很多的，会漏查病毒木马，就像个筛子。这个命题反过来却是不成立的：很多跑得很慢的反病毒程序查杀效果也并不好。为了实时扫描文件及时刻对计算机提供保护，反病毒软件都与系统内核结合得很紧。用技术语言讲，反病毒软件应该能够建立钩子来截获系统事件并将截获的结果交给反病毒引擎来分析被截获的文件、网络数据包以及其它有潜在威胁的对象。系统中的某些地方也难以容纳两种反病毒软件的钩子。结果就是不同反病毒软件的监控程序通常不能同时使用；第二个反病毒软件要么安不成钩子，要么使系统崩溃。这就引出了下一个问题。使用杀毒软件带来的问题4.杀毒软件间技术实现上的彼此互斥，即不同的反病毒软件彼此不兼容。由于技术上的原因，多数情况下在一台计算机上安装两种反病毒软件是不可能的，反病毒软件间彼此不能"相敬如宾"。新技术

VS

传统解决方案反病毒厂商每过一段时间就会考虑开发全新的技术来解决所有上面提到的问题——做个万灵丹来治好电脑上所有的病症，并且能做到一劳永逸。这就要求防病毒软件能主动出击，能识别并删除未知病毒，这样就能对付所有新出现的恶意程序。但这一点没有人能做到。对于那些有统一行为规则的东西，我们可以找到一种通用的方法来处理。可计算机病毒却不遵循任何规则，因为它