用生物进化论来阐述恶意代码进化论.doc

用“生物进化论”来阐述“恶意代码进化论” 发布:admin | 发布时间: 2010年1月11日 在长期的对抗、淘汰和选择中生物具备了求生的本能。与生物形态一样，恶意代码的当前形态，是综合淘汰和选择推动的结果。实际上这种情况适用于所有的软件程序。 　　如何思考恶意代码的演变过程？为什么把恶意代码和进化论联系起来？与生态形态一样，恶意代码的当前形态也是各种因素综合淘汰选择推动的结果，实际上这种情况也适用于所有的软件程序，包括操作系统、各种相关的工具软件、各种反病毒软件本身。进化论从根本上说是关于生死和演进的科学。 　　生篇 　　对于“生”，在长期的对抗和淘汰选择中，生物具备了求生的可能；恶意代码也具备了这种可能。 　　寄生 　　金小蜂(Nasonia)，是一生中只有一段时期寄生生活的一种寄生蜂，产卵在越冬红铃虫幼虫的身上，孵化为幼虫后就寄生在红铃虫幼虫体上，并以它的身体为食。 　　我们可以进行一下简单的类比：寄生是病毒具备的最早生存特性，进行文件的感染、进行引导区的感染等等，这是恶意代码最原始的技能之一，而病毒编写者逐渐改善这种技巧，比如类似碎洞攻击的方法保持对象原装的长度不变。 　　繁殖 　　以老鼠为例，民间有句话，“一公一母三年二百五”，这是其繁殖的能力，而以恶意代码为例的传播过程中，SQL.Slammer蠕虫在十分钟之内全球感染了7.5万台节点，其繁殖能力远强于生物。 　　躲避天敌 　　这是高高警戒的狐，天敌来了就立即逃跑。而我们看看古老的病毒Yankee，因发作现象是演奏 “Yankee Doodle”的歌曲而闻名。这是具有最早躲避天敌能力的病毒之一，当其发现Debug加载时，便逃之夭夭。这是躲避天敌的一个特性。 　　保护色 　　保护色，土蝗在黄土地上看不出来，因为和环境是一个颜色。而我们看这个例子演示灰鸽子一个变种就把自己命名为pagefile，仿佛和系统页面相关，自己起的服务名字叫Windows Server Myssl，很像Windows的系统服务。它们只有通过我们的签名验证才暴露出来，否则混杂在大量的服务中看不出来，在终端上检验非常困难。 　　拟态 　　竹节虫，非常像一根竹枝。而我们在看这个演示病毒注入到浏览器进程Iexplore中，如果简单地通过进程查看的方式是无法发现的。这是用伪装的方法，通讯用的端口在监听上和浏览器并没有区别。 　　引诱 　　这是一种更有趣的现象。有一种双盘吸虫寄生在蜗牛里，于是蜗牛的触角会长得特别鲜艳，容易被鸟发现，鸟儿吃下后就寄生在鸟的体内，随着鸟的粪便排出，后被蜗牛再吃掉，进入蜗牛的体内而形成一个循环。 　　我们也可以看出社会工程学化的恶意代码生存里就有引诱这种方式：我们会发现有两个文件夹都叫历史文献，哪个是？可能就随便打开一个。实际上这是一个U盘的病毒通过引诱的方式，利用Windows已知文件扩展名默认的配置属性来达成这样的结果。 　　假死 　　自然界中有一种会装死的千足虫。过去百度的插件用过类似的假死技术，当然，这并不是说百度是一个恶意代码，但是确实用了一个rootkit手法，拦截反病毒软件的API操作，在发现DeleteFile时，则返回SUCCESS。因为你收到了SUCCESS，意味着杀毒成功，实际病毒还在。后来就出现了一个问题，有的反病毒软件认为成功以后需要重试一下，就进入了死循环。为了解决这个问题而改变了拦截策略，在短时间内读不到，然后就到了下一个文件，这样rootkit在前阶段的死而复生，就是“假死”。 　　这些本来是一系列的生物求生的方法，这种求生方法不是生物自己通过“人工智能”设计出来的，而是在长期进化中自然淘汰后保留下来的本能，不是双盘吸虫想去控制蜗牛，想自我演变，而是不能使触角变成鲜艳颜色的双盘吸虫最终死掉了，能够变颜色的则存活下来。 死篇 　　天敌是造成演变的重要原因，但它只是演进的推动力而非消亡的推动力，没有任何一种病毒是彻底被反病毒软件杀灭的，是环境淘汰了物种。 　　三叶虫，消亡了；恐龙，消亡了；剑齿虎，消亡了，华南虎，也快要消亡了。消亡者留下了化石，快要消亡者还在动物园里残喘，比如“巴基斯坦智囊”，不再具有活性；“莫里斯蠕虫”，不再具有活性；还有一些恶意代码，也快要彻底退出历史舞台了。不再具有活性的病毒，我们看到的就不再是他的危害，而是印在教科书上，孤零零的源码或者反汇编代码。 　　为什么恶意代码被淘汰？首先说说天敌，就是对恶意代码的查杀，如同生物捕食一样，反病毒软件杀掉恶意代码。再就是防御，比如说乌龟有一层坚硬的壳，其他的动物就伤害不了它，主动防御、防火墙也是一个道理。天敌是造成演变的重要原因，但它只是演进的推动力而非消亡的推动力，没有任何一种病毒是彻底被反病毒软件杀灭的，是环境淘汰了物种。 　　历来操作系统的升级都淘汰大量的病毒，比如说DOS 3