病毒检测技术的取应用--外延化的广谱检测引擎和技术体制.pptVIP

纲要 技术对比 走向取证的自发性发展 样本的分析体制与新探索 技术现状 一、技术对比 概念对比 技术相似 首先，相关的取证技术的部分环节与反病产品的性质一样，需要在大量的数据中，确定其中符合某种定义的信息的存在。 ? 其次，从广义的理论领域来说，都可以视为信息指纹技术的相关分支。 不同点 取证系统应最少的影响现场，不应影响文件的最后访问时间，而这在反病毒系统中则不需要考虑。反病毒软件不仅要检测病毒，也要能够清除和遏制病毒，而取证系统则不需要清除处理。 取证产品的检测范围要比反病毒软件更广泛，反病毒软件在报警上比较慎重，因此对类似商用spyware、远程控制工具等等，都不作检测，而取证产品则需要找到更多的信息。 同时，取证系统需要更深入的关联分析，取证技术最终是要确定某个事件背后的逻辑关系，如确定一个程序是否为有害程序，对反病毒产品来说，这本身既是一个目的，而在取证技术来说，这只是一个手段。 取证需求分析 寻找指定格式文件 寻找指定功能文件 寻找指定内容文件 需求和对应技术 反病毒引擎已经解决上面问题 图片引自Kaspersky Labs 引擎工作示例 二、取证应用的自发性发展 问题与挑战 检测范围的自然扩大 AV辩证法面临的挑战 检测实例 某反病毒产品检测mirc的分析 名称 mirc客户端 版本 5.90 编译器 BC 说明: mIRC客户端有一整套具有网络功能的脚本语言，广泛被蠕虫、黑客工具作者和供给者利用，经常和隐藏程序端口的工具Hides/Reveals application windows一同出现。今年PSEXEC投送蠕虫族中半数以上采用了这个组合。 主要检测机理 得到一个扫描文件对象后，首先通过一个格式检测模块（smart）判定文件类型，如为PE文件，则文件类型返回“08”，将文件交给PE预处理引擎，预处理引擎将对PE文件进一步进行脱壳和还原处理，最终形成一个1K的动态的查毒缓冲区。之后，引擎根据病毒库中的一个word和两组相对偏移量的指定长度的内容的数字签名值对文件进行验证。 特征码 对应代码 push 3E7h ; cchWideChar push offset WideCharStr ; lpWideCharStr push 0FFFFFFFFh ; cbMultiByte push ebx ; lpMultiByteStr push 0 ; dwFlags push 0 ; CodePage call MultiByteToWideChar push offset WideCharStr ; OLECHAR * call SysAllocString … … loc_4018AC: ; CODE XREF: sub_4017D4+BE j push [ebp+lpWideCharStr] push offset aLd_0 ; %ld push ebx call wsprintfA add esp, 0Ch 二次定位 三、样本分析体制的新探索 后端体制 特征码的质量评估 特征码的自动挖掘 分析机（专用调试器） 保证特征码质量的前提是获取稳定（静态）代码流，而先进病毒检测引擎中的预处理器可以将静态代码流送入查毒缓冲区。 分析机由同样的预处理引擎和反汇编器组成。 如果没有预处理器 UPX1push ebp UPX1mov ebp, esp UPX1push 0FFFFFFFFh UPX1push 683350A8h UPX1:0040704B xchg eax, esp UPX1:0040704C and al, 4 UPX1:0040704E mov edi, 647BBDFDh UPX1mov eax, ds UPX1mov ds:10EC8307h, esp UPX1:0040705E push eax UPX1:0040705F push edi UPX1mov [ebp-18h], esp UPX1dd 0FFFCDEFFh, 210415DDh, 0D48AD233h,, 0C88B0040h UPX1dd 89FFE181h, 7568FC0Dh, 0DDFB67Fh, 308E1C1h, 0E8F80ACAh UPX1dd 7F4A310h, 0F7FDFB6Ah, 5B1394FFh, 75C08559h, 721C6A08h  带有预处理的分析机工作 F:\cd