第6部分恶意代码与防治探究.pptVIP

3. 基于HoneyPot的检测防御 早期HoneyPot主要用于防范网络黑客攻击。ReVirt是能够检测网络攻击或网络异常行为的HoneyPot系统。 Spitzner首次运用HoneyPot防御恶意代码攻击。HoneyPot之间可以相互共享捕获的数据信息，采用NIDS的规则生成器产生恶意代码的匹配规则，当恶意代码根据一定的扫描策略扫描存在漏洞主机的地址空间时，HoneyPots可以捕获恶意代码扫描攻击的数据，然后采用特征匹配来判断是否有恶意代码攻击。 4. 基于CCDC的检测防御 由于主动式传播恶意代码具有生物病毒特征，美国安全专家提议建立CCDC（The Cyber Centers for Disease Control）来对抗恶意代码攻击。 防范恶意代码的CCDC体系实现以下功能：①鉴别恶意代码的爆发期；②恶意代码样本特征分析；③恶意代码传染对抗；④恶意代码新的传染途径预测；⑤前摄性恶意代码对抗工具研究；⑥对抗未来恶意代码的威胁。CCDC 能够实现对大规模恶意代码入侵的预警、防御和阻断。但CCDC也存在一些问题：①CCDC是一个规模庞大的防范体系，要考虑体系运转的代价；②由于CCDC体系的开放性，CCDC自身的安全问题不容忽视；③在CCDC 防范体系中，攻击者能够监测恶意代码攻击的全过程，深入理解CCDC防范恶意代码的工作机制，因此可能导致突破CCDC 防范体系的恶意代码出现。 总结 介绍了研究恶意代码的必要性，恶意代码的定义以及分类。 介绍了恶意代码的实现机理，重点介绍了实现的关键技术：恶意代码的生存技术、恶意代码攻击技术以及恶意代码的隐藏技术。 作为研究的重点，介绍了蠕虫的定义以及流行蠕虫的结构，最后指出了恶意代码的防范方法。 反静态分析技术 反静态分析技术主要包括两方面内容： （1）对程序代码分块加密执行。为了防止程序代码通过反汇编进行静态分析，程序代码以分块的密文形式装入内存，在执行时由解密程序进行译码，某一段代码执行完毕后立即清除，保证任何时刻分析者不可能从内存中得到完整的执行代码； （2）伪指令法(Junk Code)。伪指令法系指在指令流中插入“废指令”，使静态反汇编无法得到全部正常的指令，不能有效地进行静态分析。例如，“Apparition”是一种基于编译器变形的Win32 平台的病毒，编译器每次编译出新的病毒体可执行代码时都要插入大量的伪指令，既达到了变形的效果，也实现了反跟踪的目的。此外，伪指令技术还广泛应用于宏病毒与脚本恶意代码之中。 2. 加密技术 加密技术是恶意代码自我保护的一种手段，加密技术和反跟踪技术的配合使用，使得分析者无法正常调试和阅读恶意代码，不知道恶意代码的工作原理，也无法抽取特征串。从加密的内容上划分，加密手段分为信息加密、数据加密和程序代码加密三种。 大多数恶意代码对程序体自身加密，另有少数恶意代码对被感染的文件加密。例如，“Cascade”是第一例采用加密技术的DOS环境下的恶意代码，它有稳定的解密器，可以解密内存中加密的程序体。“Mad ”和“Zombie”是“Cascade”加密技术的延伸，使恶意代码加密技术走向32位的操作系统平台。此外，“中国炸弹”(Chinese bomb)和“幽灵病毒”也是这一类恶意代码。 模糊变换技术 利用模糊变换技术，恶意代码每感染一个客体对象时，潜入宿主程序的代码互不相同。同一种恶意代码具有多个不同样本，几乎没有稳定代码，采用基于特征的检测工具一般不能识别它们。随着这类恶意代码的增多，不但使得病毒检测和防御软件的编写变得更加困难，而且还会增加反病毒软件的误报率。目前，模糊变换技术主要分为5种： （1）指令替换技术。模糊变换引擎（Mutation Engine）对恶意代码的二进制代码进行反汇编，解码每一条指令，计算出指令长度，并对指令进行同义变换。例如，将指令XOR REG，REG 变换为SUB REG，REG；寄存器REG1和寄存器REG2进行互换；JMP指令和CALL指令进行变换等。例如，“Regswap”采用了简单的寄存器互换的变形技术。 （2）指令压缩技术。模糊变换器检测恶意代码反汇编后的全部指令，对可进行压缩的一段指令进行同义压缩。压缩技术要改变病毒体代码的长度，需要对病毒体内的跳转指令进行重定位。例如指令MOV REG/ ADD REG变换为指令MOV REG指令MOV REG/ PUSHREG变换为指令PUSH。 （3）指令扩展技术。扩展技术把每一条汇编指令进行同义扩展，所有压缩技术变换的指令都可以采用扩展技术实施逆变换。扩展技术变换的空间远比压缩技术大的多，有的指令可以有几十种甚至上百种的扩展变换。扩展技术同样要改变恶意代码的长