计算机病毒行为特征的检测分析方法.docVIP

计算机病毒行为特征的检测分析方法 计算机病毒行为特征的 检测分析方法 谢辰 国际关系学 院 北京 100091 摘要:在研究计算机病毒之前，如果我们能先对被研究病毒的行为特征有足够的了解，那么对于之后的反汇编代码分析 以及查杀工作都会起到事半功倍的效果。本文先介绍了计算机病毒行为特征，然后通过实验的方法，利用虚拟机和软件分析 技术，从动态和静态两个角度，以 new orz.exe 病毒为例，来阐述和总结检测分析计算机病毒行为特征的方法。 关键词:计算机病毒;行为特征;虚拟机;软件分析技术 0 引言 (3) 隐蔽性 病毒一般是具有很高编程技巧、短小精悍的程序，它们 随着互联网技术的日渐普及和高速发展，全球化通信网 一般附着在合法程序之中，也有个别的以隐含文件形式出 络已经成为大势所趋。但网络在提供巨大便利的同时，也存 在种种安全隐患和威胁，其中危害最大影响最广的莫过于计 现，目的是不让用户发现它的存在。如果不经过代码分析， 算机病毒。在网络带宽不断升级的今天，计算机病毒的传播 病毒程序与合法程序是不容易区别开来的。 速度和变种速度也随之加快，问题也越来越严重，引起了人 (4) 潜伏性 大部分的病毒传染系统之后一般不会马上发们的广泛关注，并成为当前计算机安全技术研究的热点。据 作，它可长 国内外各大反病毒公司统计，2008 年截获的各类新病毒样 期隐藏在系统中，只有在满足其特定条件时才启动破坏模 本数已经超过 1000 万，日均截获病毒样本数万。对于现如 块。如著名的在每月 26 日发作的 CIH 病毒。 今计算机病毒变种的不断增加，反计算机病毒的一个研究方 (5) 破坏性 病毒可分为良性病毒与恶性病毒。良性病毒向便是怎样在不对病毒汇编代码分析的前提下，分析出已知 多数都是编 或未知的计算机病毒的全部行为特征。 制者的恶作剧，它对文件、数据不具有破坏性，但会浪费系 统资源。而恶性病毒则会破坏数据、删除文件或加密磁盘、 1 计算机病毒行为特征 格式化磁盘等。 (1) 传染性 传染性是计算机病毒最重要的特征，是判断 一段程序代 (6) 不可预见性 码是否为计算机病毒的依据。计算机病毒是一段人为编制的 从对病毒检测方面看，病毒还有不可预见性。不同种类 计算机程序代码，这段程序代码一旦进入计算机并得以执 行，它会搜寻其他符合其传染条件的程序或存储介质，确定 目标后再将自身代码插入其中，达到自我繁殖的目的。是否 的病毒，它们的代码千差万别。虽然反病毒技术在不断发展，具有传染性是判别一个程序是否为计算机病毒的重要条件。 但是病毒的制作技术也在不断的提高，病毒总是先于相应反 (2) 非授权性 病毒隐藏在合法程序中，当用户调用合法病毒技术出现。 (7) 可触发性 计算机病毒一般都有一个或 程序时窃取到 者几个触发条件。如果满足 其触发条件，将激活病毒的传染机制进行传染，或者激活病 系统的控制权，先于合法程序执行，病毒的动作、目的对用 毒的表现部分或破坏部分。病毒的触发条件越多，则传染性 户是未知的，是未经用户允许的。 2 实验环境 SReng2 软件。打开 SReng2，点击左侧的智能扫描，然后开 始扫描，保存扫描结果。在运行病毒后再次运行 SReng2，并 本文的实验环境为一台 PC 机，其运行 Windows XP SP3 保存扫描结果，用 UE 对比两次结果。我们能够发现在进程 系统和装有 Windows XP SP3 系统的 Vmvare7.0 虚拟机，其 中多了 new orz.exe 进程，同时发现其获得了 SeDebugPrivilege 中还有 OllyDBG、Filemon、SReng2、Regshot、SSM 在开始 和 SeLoadDriverPrivilege 权限，并且在 有一个不是 在 实验之前，我们先要确保虚拟机内的系统纯净，然后保存虚 C:\Windows\System32 目录下的 svchost.exe 也同样获得了这 拟机的快照。 两个权限。 3 检测分析计算机病毒过程(3) 通过 Filemon 观察病毒的操作 在这里需要提前说明运行 Regshot 进行注册表快照比较。 一点，根据前面的分析研究发现 首先，运行 Regshot 软件，然后选择日志输出路径后点 new orz.exe 病毒也对 Filemon 进行了映像劫持，所以需要将 击 1st shot，即对纯净系统下的注册表进行快照，之后不要退 出程序，接下来运行我们要测试的 new orz.exe，再点击 2st 主程序名更改一下方可正常运行。同样，还原虚拟机至纯 shot，即对运行病毒后的注册表进行快照。在第二次快照完 成之后，点击 compare 便会在 IE 浏览器中显示出注册表的变 净快照，