支持变异与动态配置的可装卸蠕虫框架结构研究.pdfVIP

全国网络与信息安奎技术研讨套’l∞f 支持变异和动态配置的可装卸蠕虫框架结构研究 王中尚1舒辉2谢余强2罗军宏2 (1信息工程大学理学院郑州450002：2信息工程大学信息工程学院郑州450002) 摘要：网络蠕虫在当今的网络十分流行，各种蠕虫伴随着各种漏洞的产生而层出不穷，因此研究蠕虫的相关技术十分重 要。本文提出了一种新的蠕虫结构，这种结构支持动态配置、组件可装卸，具有灵活，开放和可扩展等特点，可以通过变 异进行自我保护，逃避反病毒软件的查杀，解决了蠕虫自适应差的问题。作者在项目中实现了这种蠕虫，验证了上述的特 性。 关键宇：受控蠕虫变异动态配置可装卸汇编组件 1 引言 网络迅猛发展的今天，蠕虫越来越成为网络攻击的主体，因此对蠕虫技术的研究倍受人们重视。传统的蠕 虫一般针对于特定的漏洞，它们在新漏洞被发现时产生，在很多机器还没来得及防备之前进行大面积的传播、 破坏。随着大多数机器打上漏洞的补丁之后，这种蠕虫逐渐销声匿迹了，即使有更新的漏洞产生，也无法进 行传播了。传统的蠕虫虽然功能全面，技术日益先进，但它们不支持变异、动态配置、和功能组件的可装卸 等高级特性。它们不仅容易被反病毒软件查杀，而且当它们赖以传播的漏洞消失之后，需要重新编写蠕虫代 码以适应新的漏洞。新蠕虫和旧的蠕虫的差别有时往往很小，如在传播机制方面，很多方面如感染、驻留、 黑客任务等都是相同的，没有必要完全重新编写。 汇编代码)结构概念，这种结构利用共享堆栈方式实现组件的动态组装，但不支持变异和参数的动态配置。 本文参考了LSD的汇编组件概念，提出了一种蠕虫框架结构，这种结构可以支持二进制级指令变异和功 能参数的多次动态配置，并且可以动态装卸组件，使之无缝连接执行。 2 蠕虫的整体结构 我们将一个蠕虫按逻辑功能划分，将其分成功能独立的各个部分，每个部分用一个组件实现，根据需要 将组件连接在一起，并加上必须的描述信息，和各种内存定位信息，构成了蠕虫的整体结构。 2．1蠕虫的特性 蠕虫的整体结构必须支持动态组装，动态配置，变异等特性。动态组装指蠕虫的功能组件可以动态装卸、 替换，且不影响其连接执行，这样，我们能根据有限的蠕虫组件生成很多蠕虫变种，也可以替换上新的组件 而不影响其正确执行。一方面提高蠕虫的可扩展性和开放性，另一方面有利于蠕虫的组件的技术升级。动态 配置的特性允许我们根据目标主机的特性和环境，动态配置蠕虫的功能参数，提高蠕虫的适应性和灵活性。 变异是我们改变蠕虫指令的形式，内容，但不改变其执行效果，蠕虫的功能不变，但形式随着变异而改变， 不具有特定的静态特征，因而反病毒软件无法找到静态特征字符串，也就无法进行静态字符串匹配查杀。 为了使蠕虫具有上述的三个特性，我们需要在蠕虫的整体结构、蠕虫组件、堆栈的使用上等都有特定的 要求， 22蠕虫的整体结构 蠕虫的整体结构是蠕虫组件组装格式，是蠕虫最终在目标主机上执行的实体，因此，蠕虫的整体结构必 须支持上述的三个特性，还必须支持可执行、内存重定位，执行的流程可以定制。我们在组件概念的基础上 提出了如下的蠕虫结构 奎国网络与信息安全技术竹讨会’黝钾 定位头 长跳转 全局描述信息 垃圾指令 加密头 组件调用头 加密组件实体 功能组件实体 图1蠕虫整体结构 定位头：蠕虫必须知道自己所在的内存地址，利用这个定位头，蠕虫将自身的内存首址保存在ebx中。 定位头确保蠕虫可以进行自重定位，可以在内存的任何地方运行，汇编代码如下： callLl L1： popebx ：得到蠕虫的内存酋址。 subebx