211 多态引擎简单加密病毒框架 - 网络安全焦点.ppt

目录 怀疑者的目光—什么是多态和变形技术 历史回顾 游戏的开始—病毒技术简史 游戏的结束？—特征码提取和反病毒技术的发展 游戏仍在继续 什么是多态（Polymorphism） 什么是变形（Metamorphism） 恶作剧者的游戏？—多态和变形技术原理分析 病毒多态和变形技术原理分析 多态引擎 变形引擎 多态和变形技术在网络攻击中的应用 目录（续） 觉醒的人们—如何对抗多态和变形技术 反病毒技术的演化 防毒卡技术 特征码提取和检测 防患于未然——防火墙技术 虚拟机技术和启发扫描 入侵检测技术 未来的世界——人工智能？ 结束 一、什么是多态和变形技术1.1 历史回顾 游戏的开始——病毒技术简史 五十年代末六十年代初。ATT的贝尔实验室三个年轻的程序员制作了一个游戏：“磁芯大战” (core war)。 七十年代上半叶，“爬行者”病毒通过网络（用猫链接的一对一的网络）进行传播。 游戏的开始—病毒技术简史 “磁芯大战”之后，六十年代晚期到七十年代早期，在一种大型电脑—Univax 1108系统上，首次出现了和现代病毒本质上是一样的东西，一个叫做“流浪的野兽”（Pervading Animal）的程序可以将自己附着到其它程序的最后。 七十年代上半叶，在Tenex(一种叫做泰尼克斯)操作系统上出现了一种名为“爬行者”病毒，这个病毒可以通过网络（用猫链接的一对一的网络）进行传播 。 八十年代早期随着BBS的普及，以盗取账号和密码为目的的特洛伊木马、引导区病毒以及感染软盘 1988年“莫里斯的蠕虫”（Morris ‘s Worm），第一个通过因特网传播的病毒出现。 Linux并非乐土 1990年，第一个多态病毒“变色龙”(Chameleon)出现（又叫做“V2P1”、“V2P2”和“V2P6”）出现。 1995年秋天 “概念”（Concept）病毒开始在世界范围内流行，这一病毒的出现宣告了一种新形态的病毒的出现——宏病毒。 1997年2月：第一个Linux环境下的病毒“上天的赐福”（Bliss）出现，Linux在此之前还是一个没有被病毒感染过的乐土。 1997年12月：一种新的病毒形态，“mIRC蠕虫”出现。 1998年8月：第一个感染爪哇（Java）可执行文件的病毒陌生的酿造（Strange Brew）问世。 1998年11月：一种新的使用VB脚本语言编写的病毒“兔子”（Rabbit）。 九十年代到现在，病毒技术也日益完善，吸取了其它方面技术的成果，加密、变形等技术被病毒制造者运用的炉火纯青，跨平台感染的病毒也开始出现，大量的蠕虫和病毒使用高级语言病毒编写，宏病毒等脚本病毒大量涌现。利用漏洞的蠕虫病毒随着网络的发展也愈发猖獗，给全世界计算机用户造成了巨大的损失。蠕虫、病毒、木马之间的分界线也愈益模糊，一个病毒通常具有多种感染传播手段并具有多种意图。 分布式的、应用复杂人工智能的具有自我学习能力的智能型蠕虫或病毒亦可能会出现。 游戏的结束？—特征码提取及反病毒技术的发展 七十年代上半叶随着“爬行者”病毒的出现，一种叫做“清除者”的程序也被开发出来专门对付“爬行者”，这可能就是病毒和反病毒的第一次战争。 1989年，俄罗斯程序员开始开发著名的反病毒软件AVP。 此后KILL、“赛门铁克”的诺顿、McAfee、瑞星、KV等杀毒软件相继出现。 在早期，反病毒技术就是特征码提取和查找的代名词，不过这给传统的病毒也带来了致命的打击。 1997年出现了病毒防火墙技术。 反病毒厂商相应发展了虚拟机、启发式查毒等技术对抗未知病毒，也取得了很好的效果。 随着蠕虫类病毒的猖獗，反病毒技术和入侵检测等技术有融合的趋势。 游戏仍在继续 由聪明的程序员发起的这场游戏会结束吗？计算机的存在、程序的本质决定了这场攻防的战争永远也不会停止。 我们能做什么？ 了解这些技术，开发高技术含量的防毒软件、扩大市场并降低软件价格。 1.2 什么是多态（Polymorphism） 多态并不神秘。病毒多态就是使病毒能够改变自身的存储形式的技术，使传统依靠特征值检测的技术失效。 1.3 什么是变形(Metamorphism) 变形则在多态的基础上更进一步。对整个病毒体都进行处理，使不同病毒实例的代码完全不同，不但没有固定的特征码，而且也无需还原成没有任何变化的病毒体，如果说对付多态还可以通过虚拟机等待病毒体被还原之后检测特征值，那么完全的多态则使得这种技术完全失效。 二、恶作剧者的游戏？—多态和变形技术的原理分析 多态和变形病毒起源于加密解密思想，最简单的想法是对病毒进行加密，然后运行时进行解密，下面是一个简单的经过加密的病毒框架： 简单加密病毒框架 思路 这样加密后的病毒体只要key不同，加