多态,混淆和加密
凡是带有攻击意图而编写,可能对用户电脑造成危害的程序,我们将之统称为恶意程序,而这其中我们常见的就是病毒、蠕虫、木马,或者其他间谍软件之类。不管这些恶意程序的编制者们是出于牟利或者进行破坏的目的,恶意程序要想发挥作用首先必须保证自己的存在,而恶意程序往往会采取种种方式来达到这一目的,这些方式也就是恶意程序的自我保护技术。
最好的方式首先自然是能够避免被发现,恶意程序掩藏自己的行踪,尽量避免对用户造成影响而使之查觉不到;它还得通过种种手段避开反病毒软件的检测,比如病毒作者总是力图去寻找并利用一个新的漏洞,这些都是比较隐蔽的自我保护方式;如果被反病毒软件检测到,那它也会力图使自己不那么容易被清除掉,如今的病毒总是越来越顽固;而近来一些如以如AV终结者为代表的病毒,则更激进一些,首先就直接攻击反病毒软件而使之失去防护功效。
大体来说,恶意程序的自保护机制要实现的是以下一种或多种功能,包括:
1.干扰基于病毒库检测手段对病毒的检测
2.干扰病毒分析员对代码的分析
3.干扰对系统中恶意程序的检测
4.干扰安全软件如反病毒程序和防火墙的功能
为了达到以上自我保护的功能,恶意程序采取了种种不同的技术,比如如今正流行的就是加壳、Rootkit等,以下我们就对恶意软件的自我保护技术的发展来进行一个简单的阐述。
源起:多态(polymorphism),混淆(obfuscation)和加密(encryption)
早期的反病毒软件技术基本上是基于特征码检测的,要避开反病毒软件的检测只需使得恶意程序的特征码更难被提取即可,因而这时的恶意程序编制者们采用多态(polymorphism),混淆(obfuscation)或加密(encryption)这几种技术来避免被反病毒软件检测到,并且也使病毒分析员在分析病毒代码时更有难度。
恶意程序的历史起源于1970年代,但是恶意程序的自保护的历史直到1980年代晚期才开始。第一个存在的自我保护的病毒是DOS病毒Cascade(Virus.DOS.Cascade),它通过加密其部分代码试图防止自己被反病毒程序检测。然而这并不是很成功,因为虽然其病毒的每个新拷贝都互不相同,但仍然包含不变的小段代码,这暴露了它的行踪,结果使得反病毒程序仍然能够检测到它。虽然如此,病毒作者改变了方向,两年内出现了第一个多态病毒:Chameleon(Virus.DOS.Chameleon)。Chameleon,和1260以及其同时代的Whale一样有名,使用了复杂的加密和混淆方式来保护其代码。两年后,我们见证了所谓的多态生成器的出现,它可以被恶意程序利用——以游离于安全措施的控制之外。
为什么修改代码可以被用作干扰文件检测,文件检测是如何工作的,在这里需要对它们做出解释。
直到最近,反病毒程序才通过分析文件代码进行独占性的工作。早期的基于病毒库的检测手段专注于寻找精确的比特序列,通常是恶意程序二进制文件头文件固定的偏移量。后来的启发式检测手段也使用文件代码,只是更为灵活,基本上就是搜寻通用的恶意代码序列。显然,如果恶意程序每个拷贝包含新的代码序列,那么对它们来说对付这些检测并不难。
这种工作通过程序的多态和变形技术来实现,抛开其技术细节,其本质就是恶意程序在复制其拷贝时,通过使其自身在比特级别变化来实现,同时,程序的功能仍然保持不变。加密和混淆是用来干扰代码分析员的最初手段,但是当它们以某种方式实现时,其结果可能是多态的变型——这有个例子就是Cascade,其每个拷贝都用唯一的密钥加密。混淆可以干扰分析员,但是当其以不同方式用于恶意程序的每个拷贝时,它能干扰基于病毒库的检测手段。然而,不能说上述任何一个手段比其他一个自保护手段更有效。更正确的说法是,这些手段的效率取决于特定的环境和这些技术如何被使用。
相对而言,多态的使用仅仅在DOS文件病毒中广泛流行。这是有原因的,因为写多态代码是非常费时间的工作,仅仅适用于恶意程序自我复制的情况:每个新拷贝包括多少有些不同的序列。同时代主流的木马并没有自我复制的能力,因此它们与多态不相干。这就是为什么自从DOS时代病毒终止后,多态出现得更少的原因,病毒作者也不写特别实用的恶意功能,顶多只是用多态来炫耀其技术的高超。
与之形成对照的是,混淆至今仍继续被使用,当其他修改代码的方法被病毒用以逃避检测时,它在很大程度上使病毒更难被分析。
不过自从行为检测手段出现并取代基于病毒库的检测后,修改代码技术在干扰检测方面的有效性降低了。这是为什么多态和相关的技术如今不再那么常用的原因,它仅仅作为干扰分析员对恶意代码进行分析的一种手段。
网友评论