计算机病毒行为特征的检测分析方法

计算机病毒行为特征的检测分析 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 计算机病毒行为特征的 检测分析方法 谢辰 国际关系学 院 北京 100091 摘要:在研究计算机病毒之前，如果我们能先对被研究病毒的行为特征有足够的了解，那么对于之后的反汇编代码分析 以及查杀工作都会起到事半功倍的效果。本文先介绍了计算机病毒行为特征，然后通过实验的方法，利用虚拟机和软件分析 技术，从动态和静态两个角度，以 new orz.exe 病毒为例，来阐述和 总结 初级经济法重点总结下载党员个人总结TXt高中句型全总结.doc高中句型全总结.doc理论力学知识点总结pdf 检测分析计算机病毒行为特征的方法。 关键词:计算机病毒;行为特征;虚拟机;软件分析技术 0 引言 (3) 隐蔽性 病毒一般是具有很高编程技巧、短小精悍的程序，它们 随着互联网技术的日渐普及和高速发展，全球化通信网 一般附着在合法程序之中，也有个别的以隐含文件形式出 络已经成为大势所趋。但网络在提供巨大便利的同时，也存 在种种安全隐患和威胁，其中危害最大影响最广的莫过于计 现，目的是不让用户发现它的存在。如果不经过代码分析， 算机病毒。在网络带宽不断升级的今天，计算机病毒的传播 病毒程序与合法程序是不容易区别开来的。 速度和变种速度也随之加快，问题也越来越严重，引起了人 (4) 潜伏性 大部分的病毒传染系统之后一般不会马上发们的广泛关注，并成为当前计算机安全技术研究的热点。据 作，它可长 国内外各大反病毒公司统计，2008 年截获的各类新病毒样 期隐藏在系统中，只有在满足其特定条件时才启动破坏模 本数已经超过 1000 万，日均截获病毒样本数万。对于现如 块。如著名的在每月 26 日发作的 CIH 病毒。 今计算机病毒变种的不断增加，反计算机病毒的一个研究方 (5) 破坏性 病毒可分为良性病毒与恶性病毒。良性病毒向便是怎样在不对病毒汇编代码分析的前提下，分析出已知 多数都是编 或未知的计算机病毒的全部行为特征。 制者的恶作剧，它对文件、数据不具有破坏性，但会浪费系 统资源。而恶性病毒则会破坏数据、删除文件或加密磁盘、 1 计算机病毒行为特征 格式化磁盘等。 (1) 传染性 传染性是计算机病毒最重要的特征，是判断 一段程序代 (6) 不可预见性 码是否为计算机病毒的依据。计算机病毒是一段人为编制的 从对病毒检测方面看，病毒还有不可预见性。不同种类 计算机程序代码，这段程序代码一旦进入计算机并得以执 行，它会搜寻其他符合其传染条件的程序或存储介质，确定 目标后再将自身代码插入其中，达到自我繁殖的目的。是否 的病毒，它们的代码千差万别。虽然反病毒技术在不断发展，具有传染性是判别一个程序是否为计算机病毒的重要条件。 但是病毒的制作技术也在不断的提高，病毒总是先于相应反 (2) 非授权性 病毒隐藏在合法程序中，当用户调用合法病毒技术出现。 (7) 可触发性 计算机病毒一般都有一个或 程序时窃取到 者几个触发条件。如果满足 其触发条件，将激活病毒的传染机制进行传染，或者激活病 系统的控制权，先于合法程序执行，病毒的动作、目的对用 毒的表现部分或破坏部分。病毒的触发条件越多，则传染性 户是未知的，是未经用户允许的。 2 实验环境 SReng2 软件。打开 SReng2，点击左侧的智能扫描，然后开 始扫描，保存扫描结果。在运行病毒后再次运行 SReng2，并 本文的实验环境为一台 PC 机，其运行 Windows XP SP3 保存扫描结果，用 UE 对比两次结果。我们能够发现在进程 系统和装有 Windows XP SP3 系统的 Vmvare7.0 虚拟机，其 中多了 new orz.exe 进程，同时发现其获得了 SeDebugPrivilege 中还有 OllyDBG、Filemon、SReng2、Regshot、SSM 在开始 和 SeLoadDriverPrivilege 权限，并且在 有一个不是 在 实验之前，我们先要确保虚拟机内的系统纯净，然后保存虚 C:\Windows\System32 目录下的 svchost.exe 也同样获得了这 拟机的快照。 两个权限。 3 检测分析计算机病毒过程(3) 通过 Filemon 观察病毒的操作 在这里需要提前说明运行 Regshot 进行注册表快照比较。 一点，根据前面的分析研究发现 首先，运行 Regshot 软件，然后选择日志输出路径后点 new orz.exe 病毒也对 Filemon 进行了映像劫持，所以需要将 击 1st shot，即对纯净系统下的注册表进行快照，之后不要退 出程序，接下来运行我们要测试的 new orz.exe，再点击 2st 主程序名更改一下方可正常运行。同样，还原虚拟机至纯 shot，即对运行病毒后的注册表进行快照。在第二次快照完 成之后，点击 compare 便会在 IE 浏览器中显示出注册表的变 净快照，打开 Filemon，将过滤条件设置成为 new orz.exe， 化，由于该病毒修改表项过多，此处只展示一部分，如图 1 然后运行病毒程序。由于信息量很大，只列举一部分，如所示。 图 2 所示，我们可以发现在其在 C:\Documents and Settings\ Administrator\Local Settings\Temp 目录下创建了绿化.bat，还 发现其在相同的目录下创建了 svchost.exe 和 urlmOn.dll。 图 2 病毒程序 图 1 病毒修改表 (4) OllyDBG 分析 通过报告我们知道 new orz 共对注册表造成影响有 541 还原虚拟机系统，运行 PEID 对 new orz.exe 进行查壳， 发现其使用的是 WinUpack 0.39 final 的壳。对其脱壳，脱壳 项，通过上图我们能够发现，此病毒对很多杀毒软件进行了 过程不在这里进行说明了。脱壳之后显示是 VC6.0 编写的。 映像劫持操作。 将其载入 OD，查找字符串，结合我们刚才对 new orz.exe 行 (1) 对使用系统端口进行比较 在进行完注册表对比后， 为的分析，我们发现了其创建的绿化.bat 和修改的权限，图 3 我们将虚拟机系统还原至纯净 是病毒对注册表的修改，我们可以发现其对大部分的杀毒软 快照，运行 CMD，切换到 C 盘根目录下，输入 netstat – 件都进行了映像劫持，同时还有任务管理器。 an >netstat1.txt，这样做是保存纯净系统下系统所开端口的记 录。之后运行病毒文件，再次输入 netstat –an >netstat2.txt。 对比两个 TXT 文档的变化，在这里，用的是 UltraEdit 进行 的比较。 通过比较我们发现在运行 new orz.exe 之后，虚拟机有了 一个端口为 1401 的 TCP 链接，指向一个特定 IP 的 80 端口， 打开 TCPview 软件，对所有 TCP 链接进行监控后发现这个 1401 端口正是 new orz.exe 打开用来与远程主机通信的。 (2) 用 SReng2 分析病毒样本静态行为 (5) 通过 HIPS 软件 SSM 对病毒进行动态分析 4 总结 本文通过对 new orz.exe 计算机病毒为例，总结了使用虚 与 Filemon 一样，在用 SSM 对病毒进行动态监控时，也 拟机和软件行为分析技术对检测病毒行为的各个步骤:注册 需要将 SSM 主程序更改名称。最后一次将系统还原至纯净， 安装 SSM，并将系统内的安全进程设为信任。再次运行病毒， 表快照对比、端口开放与通信对比、利用 SReng2 比较分析、 如图 4，可以发现 new orz.exe 运行了 winlogon.exe ，之后 通过使用 Filemon 观察病毒文件操作、研究分析 OD 字符串 和使用 HIPS 软件对病毒进行动态观察等，使得在接下来的 services.exe 运行了 Beep.sys 等等，在这里就不一一举例了。 查杀和今后的防御有了极大的帮助。 参考文献 [1]彭国军,傅建明,张焕国.浅析反病毒技术现状挑战及发展趋 势[J].信息网络安全.2009. [2]冯天树.计算机病毒行为特征分 析[M].黑客防线 2010. [3]艾天予.计算机病毒的攻防技术探析 [J].2010. [4] 高敏芳, 王冬.WinPE 病 毒实验 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 设 计[J]. 实验室科 学.2009. 图 4 运行病毒 [上接 8 页] 居名字。参考文献 作用:FITLER.EXE 通过这个控制代码，从 IP 地址查询 [1]Keith E.Strassberg,Richard J.Gondek,Gary Rollie 等著.李昂 得到网上邻居的名字。 等译.防火墙技术大全.北京:机械工业出版社.2003. [2]Terry William Ogletree 著.李之棠等译.防火墙的原理与实 4 总结 施.北京:电子工业出版社.2001. 随着 Internet 技术的发展，网络安全将会面临更加严峻 [3]博嘉科技.LINUX 防火墙技术探秘. 北京: 国防工业出版 的挑战。本文从技术角度出发，对防火墙内部主要模块间的 社.2002. 通讯技术进行了详细的分析和介绍，希望能对不同的用户提 [4]周宏,刘克勤.新型主机防火墙模型的研究.现代电力.2003. 供参考。