一.常見的惡意代碼
(1)惡意代碼(惡意軟件)的定義:
主要是指以危害信息的安全等不良意圖的程序,它們一般潛伏在受害計算機系統中實施破壞或竊取信息
(2)惡意代碼分類:
1)計算機病毒:顯著特點:依附性 需要依附於其他文件進行繁殖; 隱蔽性
(最常見的分類 引導型病毒:感染磁盤的引導系統,在系統啓動時載入內存;文件型病毒:感染各類文件,在文件執行時載入內存)
2)蠕蟲:不需要依附於其他文件,可以再計算機系統自行繁殖;蠕蟲 惡意代碼一旦被激活常通過以下步驟複製自己:a) 搜索系統或網絡,確 認下一步的感染目標 b)建立與其他系統或遠程主機的連接 c)將自身復 制到其他系統或遠程主機,並儘可能激活他們
3)特洛伊木馬:通過冒名頂替的方式,僞裝成能夠正常功能或在系統 中正常運行的程序,隨後與攻擊者建立遠程連接爲攻擊者打開入侵的通 道
(3)惡意代碼危害:
1)攻擊系統,造成信息系統癱瘓或操作異常
2)危害數據文件的安全存儲和使用
3)泄露文件,配置或隱私信息
4)肆意佔用資源,影響系統或網絡的性能
(4)惡意代碼的基本特徵:
1)惡意代碼是一類程序,也是由人編制的,而不是在計算機環境或系 統中自生的
2)惡意代碼對系統具有破壞性或威脅性
3)惡意代碼具有潛伏性、傳染性、依附性
二.惡意代碼的機理
(1)惡意代碼的生命週期:
編制代碼 傳播 感染 觸發 運行
(2)惡意代碼機理:
1)傳播機制:
a)文件流動
b)網頁腳本和插件
c)電子郵件
d)數字內容播放:一些視頻和音頻播放器支持顯示網頁或用彈出窗口顯示它們,然而播放器缺乏瀏覽器那樣的安全檢查,因此更容易 受通過網頁的惡意代碼攻擊
e)網絡攻擊:在信息系統存在安全漏洞時,網絡攻擊可能使攻擊者截獲系統的控制權,實施非授權的操作
f)自我傳播
2)感染機制:
a)感染引導系統:
惡意代碼在侵入計算機系統後,可以選擇感染操作系統。在每次計算機啓動中,BIOS首先被執行,之後主引導記錄(MBR,Master Boot Record)和分區引導記錄中的代碼被執行;感染的方法一般是將原來的引導代碼存儲到其他扇區中,用病毒代碼 替換它。
病毒修改主引導記錄(圖12-2),這樣在系統啓動中,病毒程序 先於原引導程序執行,在執行中,病毒程序可以直接破壞,如果造成不能啓動或修改BIOS已經設置好的中斷向量,它們原來指向的BIOS中的中斷程序,現在指向病毒程序,被病毒修改的中斷程序(如圖12-3),病毒程序再指向原來的中斷程序,這樣等中斷程序調用來後病毒可以截獲控制權並可以在執行完後調用原來的中斷程序
b)感染執行文件
外殼型惡意代碼:並不改變被攻擊宿主文件的主體,而是將病毒依附於宿主的頭部或尾部,這類似於給程序加殼,惡意代碼將程序開始或結束時截獲系統控制權
嵌入型惡意代碼:寄生在文件的中間,隱蔽性很強
源代碼型惡意代碼:專門攻擊計算機開發語言,並能和後者一道編譯
覆蓋型惡意代碼:替換全部或者部分宿主,從而對宿主直接造成破壞
填充型惡意代碼:僅僅填充宿主的空閒區域,它不直接破壞宿主,也不改變宿主文件的長度,因此隱蔽性更強
c)感染結構化文檔
d)感染網絡服務或客戶端
e)假冒文件
3)觸發機制:
惡意代碼的觸發機制主要取決於前面介紹的感染機制。最簡單地,當程序、組件和宏命令等執行時,其中感染的惡意代碼將獲得執行權。對於引導型病毒,系統自動啓動可以直接導致它們獲得執行的 權限;由於系統在啓動中要根據配置啓動網絡服務和一些內存駐留程序,因此,這些程序感染的惡意代碼將獲得執行權限
三.惡意代碼分析
(1)靜態分析:
優點在於分析覆蓋率較高
由於惡意代碼經常使用各種加殼工具進行自我保護、妨礙分析過程,以及採用了加殼工具,事實上,有很多查殼工具,比如:PEiD,該工具利用不同加殼工具的不同特點, 能夠識別出常見的加密殼和壓縮殼(比如:UPX/ASProtect)。
針對Windows平臺的惡意代碼,直接查看代碼代碼的PE文件也能 得到一些有用的信息(常見的PE文件查看的工具有:LordPE/File Format Identifier(FFI)),分析人員可以通過這些工具來查看惡意 代碼的導入表、導出表、資源文件(FFI能夠修改這些PE文件中的關鍵數據)
(2)動態分析:
動態分析是指通過實際運行惡意代碼,跟蹤和觀察其執行的細節來幫助分析人員理解惡意代碼的行爲和功能;
侷限性:執行過程中受環境的限制,分析人員通常無法是惡意代碼實際執行所有分支路徑,因此需要與靜態分析結合使用
四.惡意代碼檢測
常見的惡意代碼檢測方法:
(1)特徵代碼法(以下爲兩個重要的步驟)
1)建立特徵代碼庫:
a)基本思路:通過分析、抽取得到特徵代碼。抽取的特徵代碼要具有特殊性,能夠在大範圍的匹配中唯一標識一個惡意代碼程序
b)提取特徵代碼的注意事項:不宜過長,也不宜過短,特徵代碼一般被列入特徵代碼庫,它存儲了大量已知惡意代碼的特徵代碼,是常用檢測工具的必備構建之一
2)特徵代碼匹配
根據特徵代碼庫,檢測工具對檢測目標實施代碼掃描,逐一檢查 特徵代碼庫中的特徵代碼存在;爲了加快匹配,特徵代碼庫一般也記錄了特徵代碼出現的位置
(2)校驗和法
(3)行爲檢測法
(4)軟件模擬法
(5)比較法
(6)感染實驗法