面向PE病毒检测 行为特征分析方法研究.docVIP

面向PE病毒检测 行为特征分析方法研究 　　【摘要】目前，计算机病毒的存在成为了信息安全的一大威胁，其中以Windows32 PE文件为感染目标的PE病毒最为盛行，功能最强，分析难度也最大。对此，本文研究了一种面向PE病毒检测的行为特征分析方法，详细分析PE病毒执行过程中的关键行为特征、一般行为特征等，并以其十六进制行为字符串特征码作为PE病毒的检测依据，通过对可疑PE文件中字符串的匹配实现PE病毒的启发式检测。 　　【关键词】PE病毒；行为分析；病毒检测；可执行文件 　　1引言 　　随着计算机技术的飞速发展，计算机病毒也层出不穷、日益猖獗，病毒技术日新月异、纷繁复杂，成为了信息安全的一大威胁。其中Windows32位的PE（Portable Executable，可移植的执行体）病毒最为盛行，破坏力极大，分析难度也最大。它是以Windows系统（Windows 9X、NT、2000）下的具有PE文件结构的可执行文件为感染目标，具有极强的技巧性，也使得绝大多数的病毒高手钟爱编写PE病毒，以更好的展现其病毒技术，这也就为广大反病毒工作人员提出了更多的挑战。因此，深入分析PE文件结构，掌握PE病毒的一般行为特征是有效对抗PE病毒的关键。王成等人提出了基于可疑行为识别的PE病毒检测方法，研究了Windows 平台下PE病毒的静态检测；刘帅也提出了一种基于Win32API相关行为静态检测PE病毒的方法等，这些方法都是通过分析病毒的可能行为实现对未知病毒的启发式检测，只是行为确定和行为识别的方法不同而已。 　　本文首先详细分析了PE病毒实现中具有的主要行为特征，并将其作为判断PE文件是否可疑的依据，构建PE病毒行为字符串特征值，通过获取目标文件各个节的十六进制字符串，并与行为特征字符串匹配的方法实现对PE病毒的启发式检测。 　　2PE病毒行为特征分析 　　不同的PE病毒虽然都会具有不同的传播和破坏行为，但是为了确保病毒能更容易的获得运行权，更好地保护自己长久的生存，更准确地执行其既定的功能，PE病毒就必定会执行一些固有的操作，表现出共性的行为，因此，分析病毒的一般行为特征，可以为更准确地启发式病毒查杀提供合理的依据。 　　2.1PE病毒关键行为特征 　　2.1.1 病毒中变量的重定位 　　PE病毒为了完成特定程序性功能会使用到若干变量，而这些变量在数据写入目标文件之前已经经过编译，被分配了一个确定的内存地址，当将数据写入目标PE文件之后，变量并没有重新编译，仍然使用原有地址，此时会导致该地址与同样已经编译好的目标PE文件中的地址发生冲突，导致该变量无法使用，而目标PE文件也将无法执行，因此必须对PE病毒写入的变量进行重定位。 　　2.1.2 寻找系统内存中Kernel32的基地址 　　PE病毒在传播与感染过程中使用到文件搜索、文件读写等一系列的API函数，这些API函数的地址已经动态的映射在目标PE文件的内存空间中，要使用这些必须的API函数就要在目标PE文件中寻找相关API函数的地址。由于Kernel32.dll中包含两个重要的API函数LoadLIbrary和GetProcAddress，可以通过其实现对系统中任意dll格式文件中导出的任意函数在进程空间的地址的获取，因此，对于PE病毒来说，动态获取API函数的首要操作就是找到Kernel32.dll的基地址。 　　2.2PE病毒的基本行为特征 　　PE病毒的基本行为是在不破坏感染目标PE文件的基础上，向目标PE文件写入具有特定破坏和传播功能的数据，既可以确保原PE文件的正常执行而不被用户发现，又可以寄生于该宿主文件，随文件的运行而执行其特定的功能。 　　为了实现该目的，PE病毒一般会完成几个操作。 　　（1）搜索磁盘中的目标PE文件 　　常见的PE病毒都会搜索并判断系统中的PE格式文件，将搜索到的未被其感染过的PE格式文件作为其感染目标。常用的函数包括FindFile、FindNextFile、IsDirectory、GetFilePath、Find（“.exe”）等。 　　（2）将目标PE文件映射进内存 　　PE病毒为了向目标PE格式文件写入设定好已经具有特定功能的数据，需要把目标文件整体内容映射到内存中，并且使用映射的文件句柄对目标进行文件读写操作。常用的函数包括CreateFile、MapViewOfFile、CreateFileMapping等。 　　（3）向目标PE文件写入病毒功能代码 　　向目标PE文件写入内容，PE病毒的目的是通过向PE格式文件写入特定功能的数据，达到操作系统执行PE病毒制造者想要的行为。常用的函数包括fopen、fread、fputc、fseek。 　　（4）修改目标PE文件入口点 　　为了确保病毒先于