病毒和网络攻击中的多态、变形技术原理分析及对策

G³os G³uszycy – Kwiecieñ 2011G³uszyckie Ko³o FotograficzneKiedy na pocz¹tku tego roku panRobert Janusz zdecydowa³ o za³o¿en-iu Ko³a Fotograficznego przy g³uszyckimCentrum Kultury miejscowipasjonaci fotografii bardzo sceptyczniesiê do tego pomys³u odnieœli. I tonie dlatego, ¿e nie chc¹ warsztatów, ¿enikt na nie nie bêdzie uczêszcza³, aledlatego, ¿e siê nie uda, ¿e „w G³uszycynigdy nic siê nie dzia³o i dziaæ siê niebêdzie …”Jednak dziêki zaanga¿owaniui poparciu Pani Burmistrz Alicji Ogo-rzelec siê dzieje, choæ zorganizowaniepomieszczenia na studio, oraz œro-dków na zakup wyposa¿enia niezbêd-nego do jego funkcjonowania wcalenie by³o ³atwe.Spotkania grupy odbywaj¹ siêsystematycznie. Jej uczestnicy dziel¹ oraz szlifuj¹ warsztat. Ich prace mo- gkf .ar tda s.p l, któr¹ zaa ran ¿owa ³siê swoimi doœwiadczeniami i wiedz¹, ¿na ogl¹daæ na stronie internetowej i stworzy³ na potrzeby Ko³a jegouczestnik pan Adam Danel.W warsztatach uczestnicz¹ tak¿epanie Aleksandra £yczak i ViolettaTorbacka, które œwietnie radz¹ sobiepo obu stronach obiektywu. Wartotak¿e dodaæ, ¿e najm³odszym, niemniej aktywnym uczestnikiem jest6-letni Stasio Janusz.Z pewnoœci¹ za jakiœ czasbêdziemy mieli przyjemnoœæogl¹daæ prace naszych fotografóww galerii Centrum Kultury,co niew¹tpliwie bêdzie dodatkow¹atrakcj¹ przy okazji wizytychoæby w miejscowej bibliotece.I.J.Powstan¹ 4 noweplace zabawNasz cz³owiek-So³tysW ci¹gu dwóch ostatnich tygodni lutego, mieszkañcy gminnych wsidokonywali wyboru swoich przedstawicieli. Niewiele siê zmieni³o, bowe wszystkich miejscowoœciach zaufanie zdoby³y te same osoby. Jedyniew Grzmi¹cej, ze wzglêdu na niewystarczaj¹c¹ liczbê przyby³ychmieszkañców, wybory dokonaj¹ siê w kwietniu. Poni¿ej przedstawiamylistê So³tysów i Rad So³eckich w poszczególnych wsiach.G³uszyca GórnaSo³tys: Tomasz Grygianiec;Rada So³ecka: Marian Bryjak, Joanna Burchardt,Grzegorz Czepil, Tomasz Trawczyñski, Bogumi³a Wiœniewska,Mariusz Wojciechowski i Jadwiga Zab³ocka.Dziêki projektowi „Odnowa i rozwój wsi” realizowanemu w ramach ProgramuRozwoju Obszarów Wiejskich 2007-2013. Dolnoœl¹skie samorz¹dyotrzymaj¹ 51 mln z³otych. 21 marca 2011 r. w siedzibie Urzêdu Gminy Œwidnicazosta³y podpisane umowy z samorz¹dami powiatu œwidnickiego, wa³brzyskiegoi dzier¿oniowskiego. Samorz¹dy dostan¹ pieni¹dze na m.in. przebudowaniewiejskich œwietlic, wyremontowanie boisk sportowych, stworzenieplaców zabaw dla dzieci oraz zainstalowanie oœwietlenia wzd³u¿ dróg.W imieniu wojewody umowy podpisa³ cz³onek zarz¹du województwa W³odzimierzChlebosz. Gminê G³uszyca reprezentowa³a burmistrz Alicja Ogorzelec.W tegorocznym rozdaniu œrodków, Gmina G³uszyca otrzyma³a dofinansowaniena projekt: „Podniesienie jakoœci infrastruktury rekreacyjnoturystycznejna terenach wiejskich Gminy G³uszyca - budowa placów zabaw”.W ramach tego zadania maj¹ zostaæ wybudowane 4 place zabaw w: G³uszycyGórnej, Sierpnicy, Kolcach i Grzmi¹cej za ponad 622 tys. z³. Projekt zosta³ zatwierdzonyz maksymalnym poziomem dofinansowania tj. 75% kosztów kwalifikowanych(m.in. bez VAT). Oznacza to, ¿e otrzymamy dofinansowanie w wysokoœci382 tys. z³. Pewnym problemem jest sposób rozliczania zadania. Za ca³¹inwestycjê musimy zap³aciæ z w³asnego bud¿etu. Na zwrot czêœci pieniêdzybêdziemy mogli liczyæ dopiero jesieni¹.urzKolceSo³tys: Barbara Soko³owska;Rada So³ecka: Mariola Borys, Edyta Dec, Iwona Drzymalska,Kamil Grycaj, Daniel Soko³owski.£omnicaSo³tys: Julianna Mlazga;Rada So³ecka: Marcin Graczyk, Gizela Lorek, Monika Mordowska,Marek Seler, Jaros³aw Skupin, Przemys³aw Œwietlicki.SierpnicaSo³tys: Krystyna Go³ebiowska;Rada So³ecka: Sebastian Czuchra, Irena Moroz,Adrianna Rajter, Katarzyna Rydlicka, Ma³gorzata Trojanowska.Wszystkim wybranym gratulujemy uzyskania zaufaniaspo³ecznego i ¿yczymy owocnej wspó³pracy na rzecz rozwojuich wsi w ka¿dej dziedzinie ¿ycia spo³ecznego!mon4

游 戏 的 开 始 — 病 毒 技 术 简 史–“ 磁 芯 大 战 ” 之 后 , 六 十 年 代 晚 期 到 七 十 年 代 早 期 , 在 一 种 大 型 电脑 —Univax 1108 系 统 上 , 首 次 出 现 了 和 现 代 病 毒 本 质 上 是 一 样 的东 西 , 一 个 叫 做 “ 流 浪 的 野 兽 ”(Pervading Animal) 的 程 序 可 以 将自 己 附 着 到 其 它 程 序 的 最 后 。– 七 十 年 代 上 半 叶 , 在 Tenex( 一 种 叫 做 泰 尼 克 斯 ) 操 作 系 统 上 出 现 了一 种 名 为 “ 爬 行 者 ” 病 毒 , 这 个 病 毒 可 以 通 过 网 络 ( 用 猫 链 接 的 一 对一 的 网 络 ) 进 行 传 播 。– 八 十 年 代 早 期 随 着 BBS 的 普 及 , 以 盗 取 账 号 和 密 码 为 目 的 的 特 洛 伊木 马 、 引 导 区 病 毒 以 及 感 染 软 盘– 1988 年 “ 莫 里 斯 的 蠕 虫 ”(Morris ‘s Worm), 第 一 个 通 过 因 特 网 传播 的 病 毒 出 现 。Copyright © Hume 2003

Linux 并 非 乐 土– 1990 年 , 第 一 个 多 态 病 毒 “ 变 色 龙 ”(Chameleon) 出 现( 又 叫 做 “V2P1”、“V2P2” 和 “V2P6”) 出 现 。– 1995 年 秋 天 “ 概 念 ”(Concept) 病 毒 开 始 在 世 界 范 围 内流 行 , 这 一 病 毒 的 出 现 宣 告 了 一 种 新 形 态 的 病 毒 的 出现 —— 宏 病 毒 。– 1997 年 2 月 : 第 一 个 Linux 环 境 下 的 病 毒 “ 上 天 的 赐 福 ”(Bliss) 出 现 ,Linux 在 此 之 前 还 是 一 个 没 有 被 病 毒感 染 过 的 乐 土 。– 1997 年 12 月 : 一 种 新 的 病 毒 形 态 ,“mIRC 蠕 虫 ” 出 现 。– 1998 年 8 月 : 第 一 个 感 染 " 爪 哇 "(Java) 可 执 行 文 件 的病 毒 " 陌 生 的 酿 造 "(Strange Brew) 问 世 。– 1998 年 11 月 : 一 种 新 的 使 用 VB 脚 本 语 言 编 写 的 病 毒 “ 兔子 ”(Rabbit)。Copyright © Hume 2003

– 九 十 年 代 到 现 在 , 病 毒 技 术 也 日 益 完 善 , 吸 取 了 其 它方 面 技 术 的 成 果 , 加 密 、 变 形 等 技 术 被 病 毒 制 造 者 运用 的 炉 火 纯 青 , 跨 平 台 感 染 的 病 毒 也 开 始 出 现 , 大 量的 蠕 虫 和 病 毒 使 用 高 级 语 言 病 毒 编 写 , 宏 病 毒 等 脚 本病 毒 大 量 涌 现 。 利 用 漏 洞 的 蠕 虫 病 毒 随 着 网 络 的 发 展也 愈 发 猖 獗 , 给 全 世 界 计 算 机 用 户 造 成 了 巨 大 的 损失 。 蠕 虫 、 病 毒 、 木 马 之 间 的 分 界 线 也 愈 益 模 糊 , 一个 病 毒 通 常 具 有 多 种 感 染 传 播 手 段 并 具 有 多 种 意 图 。– 分 布 式 的 、 应 用 复 杂 人 工 智 能 的 具 有 自 我 学 习 能 力 的智 能 型 蠕 虫 或 病 毒 亦 可 能 会 出 现 。Copyright © Hume 2003

游 戏 的 结 束 ?— 特 征 码 提 取及 反 病 毒 技 术 的 发 展– 七 十 年 代 上 半 叶 随 着 “ 爬 行 者 ” 病 毒 的 出 现 , 一 种 叫 做 “ 清 除 者 ” 的 程序 也 被 开 发 出 来 专 门 对 付 “ 爬 行 者 ”, 这 可 能 就 是 病 毒 和 反 病 毒 的 第一 次 战 争 。– 1989 年 , 俄 罗 斯 程 序 员 开 始 开 发 著 名 的 反 病 毒 软 件 AVP。– 此 后 KILL、“ 赛 门 铁 克 ” 的 诺 顿 、McAfee、 瑞 星 、KV 等 杀 毒 软 件 相 继出 现 。– 在 早 期 , 反 病 毒 技 术 就 是 特 征 码 提 取 和 查 找 的 代 名 词 , 不 过 这 给传 统 的 病 毒 也 带 来 了 致 命 的 打 击 。– 1997 年 出 现 了 病 毒 防 火 墙 技 术 。– 反 病 毒 厂 商 相 应 发 展 了 虚 拟 机 、 启 发 式 查 毒 等 技 术 对 抗 未 知 病毒 , 也 取 得 了 很 好 的 效 果 。– 随 着 蠕 虫 类 病 毒 的 猖 獗 , 反 病 毒 技 术 和 入 侵 检 测 等 技 术 有 融 合 的趋 势 。Copyright © Hume 2003

游 戏 仍 在 继 续• 由 聪 明 的 程 序 员 发 起 的 这 场 游 戏 会 结 束吗 ? 计 算 机 的 存 在 、 程 序 的 本 质 决 定 了 这场 攻 防 的 战 争 永 远 也 不 会 停 止 。• 我 们 能 做 什 么 ?– 了 解 这 些 技 术 , 开 发 高 技 术 含 量 的 防 毒 软 件 、扩 大 市 场 并 降 低 软 件 价 格 。Copyright © Hume 2003

1.2 什 么 是 多 态(Polymorphism)• 多 态 并 不 神 秘 。 病 毒 多 态 就 是 使 病 毒 能 够改 变 自 身 的 存 储 形 式 的 技 术 , 使 传 统 依 靠特 征 值 检 测 的 技 术 失 效 。Copyright © Hume 2003

1.3 什 么 是 变 形 (Metamorphism)• 变 形 则 在 多 态 的 基 础 上 更 进 一 步 。 对 整 个病 毒 体 都 进 行 处 理 , 使 不 同 病 毒 实 例 的 代码 完 全 不 同 , 不 但 没 有 固 定 的 特 征 码 , 而且 也 无 需 还 原 成 没 有 任 何 变 化 的 病 毒 体 ,如 果 说 对 付 多 态 还 可 以 通 过 虚 拟 机 等 待 病毒 体 被 还 原 之 后 检 测 特 征 值 , 那 么 完 全 的多 态 则 使 得 这 种 技 术 完 全 失 效 。Copyright © Hume 2003

二 、 恶 作 剧 者 的 游 戏 ?— 多 态 和 变 形 技 术 的 原 理 分 析– 多 态 和 变 形 病 毒 起 源 于 加 密 解 密 思 想 , 最 简 单的 想 法 是 对 病 毒 进 行 加 密 , 然 后 运 行 时 进 行 解密 , 下 面 是 一 个 简 单 的 经 过 加 密 的 病 毒 框 架 :•2.1.1 多 态 引 擎Copyright © Hume 2003

简 单 加 密 病 毒 框 架MOV ECX , VIRUS_SIZEMOV EDI, offset EncrptStartDecrptLoop:XOR byte ptr [EDI],keyINC EDIVIRUS_SIZE 是加 密 代 码 的 长度 。offsetEncrptStart 是 加密 代 码 的 起 始地 址 。key 是 密 钥 。LOOPDecrptLoopCopyright © Hume 2003

思 路• 这 样 加 密 后 的 病 毒 体 只 要 key 不 同 , 加 密 病毒 的 特 征 值 就 消 失 了 。 但 问 题 是 解 密 头 还是 固 定 的 , 还 是 有 特 征 值 , 这 和 普 通 的 病毒 相 比 没 什 么 改 善 。 改 善 的 方 法 就 是 使 每次 生 成 的 解 密 头 和 密 钥 都 不 同 。 应 该 达 到如 下 目 标 :– 每 条 解 密 指 令 都 不 是 固 定 的 , 我 们 看 到 的 上 面的 固 定 代 码 实 际 上 只 是 一 种 可 能 , 病 毒 每 次 复制 自 身 的 时 候 , 这 些 代 码 都 会 随 机 改 变 。– 密 钥 每 次 都 随 机 生 成 。Copyright © Hume 2003

• 这 样 在 每 次 感 染 后 , 因 为 解 密 代 码 几 乎 没有 规 律 可 寻 , 而 其 他 代 码 又 经 过 加 密 , 所以 整 个 病 毒 代 码 都 不 是 固 定 的 , 如 果 指 望能 够 从 这 些 代 码 中 找 到 固 定 的 病 毒 特 征 码则 是 徒 劳 的 。 这 就 是 多 态 病 毒 思 想 。Copyright © Hume 2003

多 态 引 擎 的 组 成原 始 解 密 代 码 (0)指 令 位 置 变 换 模 块 (1)寄 存 器 变 换 模 块 (2)指 令 扩 展 模 块 (3) 指 令 收 缩 模 块 (4)等 价 指 令 替 换 模 块 (5)无 用 指 令 随 机 插 入 (6) 垃 圾 指 令 插 入 (7)生 成 的 新 解 密 代 码 (8)Copyright © Hume 2003

• 1) 的 作 用 是 变 换 不 影 响 执 行 效 果 的 指 令 的相 对 位 置 , 如 下 指 令 的 位 置 就 是 任 意 的 ,可 以 有 3!=6 种 变 化 :• mov• xor• lodsdecx,ecxebx,23Copyright © Hume 2003

• 2) 的 作 用 是 随 机 选 取 寄 存 器 如 :– mov reg,[123456]– mov [45678],reg– reg 就 可 以 在 eax,ebx,ecx.... 等 通 用 寄 存 器 之 间 进行 随 机 选 择 。Copyright © Hume 2003

• 3) 将 一 条 指 令 替 换 为 多 条 等 价 指 令 :STOSDMOV EAX,EDXPOP EAXMOV [EDI],EAX,ADD EDI,4PUSH EDX , POP EAXMOV EAX,[ESP] ADD ESP,4Copyright © Hume 2003

• 4) 多 条 指 令 替 换 为 一 条 等 价 指 令 :MOVADD[EDI],EAXEDI,4STOSDPUSH EDXXCHG EAX,EDXPOP EDXMOVEAX,EDXCopyright © Hume 2003

• 5) 一 条 指 令 替 换 为 一 条 等 价 指 令 :XOR EAX,EAXADD EXX,1SUB EAX,EAXINC EXX6) 可 以 是 不 影 响 解 密 代 码 的 指 令7) 垃 圾 指 令 , 不 能 影 响 代 码 执 行 效 果 的 指令 , 可 以 有 单 字 节 、 双 字 节 等 垃 圾 指 令 。6 和 7 的 目 的 是 为 了 干 扰 杀 毒 引 擎 扫 描 器 。Copyright © Hume 2003

• 以 上 只 是 一 个 简 单 的 模 型 , 一 个 好 的 解 密代 码 生 成 引 擎 应 该 达 到 :– 选 取 的 指 令 覆 盖 整 个 IA-32 指 令 集– 解 密 指 令 选 取 具 有 充 分 的 随 机 性– 密 钥 的 选 取 具 有 充 分 的 随 机 性– 加 密 解 密 算 法 可 变Copyright © Hume 2003

2.1.2 变 形 引 擎病 毒 体 代 码 (0)反 汇 编 器 (1)内 部 伪 码 (2)伪 指 令 位 置 变 换 (3) 伪 码 收 缩 (4)伪 码 扩 展 (5)模 拟 器 (10)无 用 指 令 随 机 插 入 (6) 垃 圾 指 令 插 入 (7)伪 码 汇 编 器 (8)新 的 病 毒 体 (9)Copyright © Hume 2003

变 形 病 毒 的 缺 陷• 1) 编 写 难 度 大 , 调 试 起 来 困 难 。 上 述 可 知 编 写 一个 变 形 引 擎 需 要 很 多 知 识 和 技 巧 。 这 使 得 很 少 人再 去 做 这 种 极 度 痛 苦 的 工 作 。• 2) 体 积 大 。 目 标 也 大 , 容 易 引 起 人 的 怀 疑 。 举 一个 例 子 600K 的 一 个 软 件 增 加 2K 不 会 引 起 人 的 什 么怀 疑 , 如 果 600K 的 软 件 增 加 100K 那 就 很 可 疑了 。• 3) 一 些 设 计 上 的 漏 洞 , 可 能 会 被 反 病 毒 软 件 利用 , 会 导 致 无 法 达 到 预 期 的 效 果 。• 因 此 对 于 成 本 综 合 测 量 通 常 的 结 论 是 一 般 的 多 态现 阶 段 即 可 达 到 目 标 , 何 必 再 费 劲 去 研 究 和 编 写变 形 病 毒 呢 ?Copyright © Hume 2003

2.2 多 态 和 变 形 技 术 在 网 络攻 击 中 的 应 用• 蠕 虫 主 动 攻 击 是 利 用 多 态 和 变 形 技 术 的 好地 方 , 他 们 本 身 就 很 大 , 也 就 不 在 乎 多 一点 能 提 高 攻 击 效 果 的 多 态 和 变 形 代 码 了 。• ShellCode 的 多 态 化 处 理 躲 过 部 分 IDS 检 测Copyright © Hume 2003

三 、 觉 醒 的 人 们 —— 如 何 对付 多 态 和 变 形 技 术• 3.1 反 病 毒 技 术 的 发 展– 那 么 Aver 们 在 做 什 么 呢 ? 在 病 毒 不 断 进 化 的 同时 杀 毒 商 们 也 没 闲 着 , 除 了 不 着 边 际 地 吹 嘘 之外 , 也 有 一 些 技 术 确 实 极 大 地 改 变 了 一 边 病 毒压 倒 一 切 的 一 边 倒 的 形 势 。 这 些 技 术 包 括 :Copyright © Hume 2003

防 毒 卡 技 术• 这 种 技 术 企 图 以 固 定 的 模 式 对 付 进 化 的 软件 和 病 毒 世 界 结 果 失 败 了 , 看 来 只 有 历 史研 究 价 值 了 。Copyright © Hume 2003

特 征 码 提 取 和 检 测• 传 统 的 反 病 毒 技 术 , 提 取 病 毒 体 代 码 的 固定 的 特 征 值 。 到 现 在 为 止 仍 然 发 挥 着 重 要的 作 用 。 介 绍 很 多 , 不 再 赘 述 。Copyright © Hume 2003

防 患 于 未 然 —— 防 火 墙 技 术• 防 火 墙 是 “ 文 件 系 统 实 时 监 视 技 术 ” 的 通 俗 较 法 ,其 中 心 思 想 是 利 用 对 底 层 驱 动 等 对 文 件 读 写 进 行过 滤 和 扫 描 , 试 图 发 现 任 何 病 毒 类 型 的 行 为 而 给出 警 报 , 防 患 于 未 然 。 这 比 等 病 毒 感 染 了 全 部 硬盘 文 件 之 后 再 杀 除 效 果 无 疑 好 的 多 , 是 主 动 病 毒防 护 思 想 的 产 物 。 所 谓 的 主 动 内 核 技 术 (ActiveK) 技 术 不 过 是 防 火 墙 思 想 的 翻 版 , 差 别 在 于 主动 内 核 技 术 要 把 防 火 墙 从 应 用 软 件 级 集 成 进 操 作系 统 的 底 层 组 件 之 中 。 这 也 许 对 微 软 还 有 些 诱 惑力 , 不 过 既 然 gates 没 这 么 干 , 想 必 还 是 有 其 不 成熟 的 地 方 。Copyright © Hume 2003

虚 拟 机 技 术 和 启 发 扫 描• 杀 毒 引 擎 中 的 虚 拟 机 技 术 和 这 种 技 术 是 类似 的 , 就 是 仿 真 某 种 CPU( 比 如 X86) 然 后用 解 释 的 方 法 执 行 病 毒 体 , 这 样 病 毒 体 不会 对 用 户 机 造 成 任 何 危 害 , 但 杀 毒 引 擎 可以 通 过 虚 拟 执 行 等 待 多 态 解 密 代 码 将 病 毒体 解 密 然 后 再 利 用 特 征 码 扫 描 病 毒 体 从 而发 现 病 毒 。 再 完 美 的 多 态 在 完 美 的 虚 拟 机面 前 也 无 济 于 事 , 因 为 多 态 病 毒 总 要 还 原一 个 不 变 的 “ 核 心 ”。Copyright © Hume 2003

启 发 扫 描 的 行 为 分 析• 病 毒 毕 竟 是 病 毒 很 多 行 为 和 普 通 软 件 还 是有 很 大 区 别 的 。 比 如 要 对 可 执 行 文 件 进 行读 写 、 复 制 自 身 、hookAPI、 自 身 进 行SMC、 反 跟 踪 等 等 , 要 想 辨 别 一 种 未 知 的变 形 病 毒 只 能 靠 这 种 行 为 分 析 了 , 根 据 是否 具 有 多 种 可 疑 行 为 以 及 可 疑 行 为 的 严 重程 度 进 行 评 估 , 如 果 严 重 程 度 超 过 某 个 阈值 就 报 警 。 这 种 行 为 分 析 技 术 一 般 就 被 称为 启 发 式 查 毒 技 术 。Copyright © Hume 2003

3.2 入 侵 检 测 技 术• 一 种 思 路 就 是 利 用 神 经 网 络 的 方 法 通 过 学习 以 对 付 经 过 多 态 技 术 处 理 的 未 知 数 据包 , 甚 至 采 用 其 它 的 统 计 和 行 为 分 析 等 人工 智 能 技 术 进 行 处 理 。Copyright © Hume 2003

四 、• 未 来 的 世 界 — 人 工 智 能 ?Copyright © Hume 2003

五 、 最 后• 软 件 技 术 发 展 的 现 状 决 定 了 现 在 的 软 件 复杂 度 和 水 平 , 也 决 定 了 病 毒 和 反 病 毒 技 术的 水 平 。 上 面 的 这 种 “ 人 工 智 能 幻 想 ” 也 许 永远 不 会 实 现 。 所 以 , 该 醒 醒 了 .....• 但 作 为 安 全 工 作 研 究 者 , 我 们 还 是 要 关 注最 新 的 病 毒 和 反 病 毒 技 术 的 进 展 。Copyright © Hume 2003

谢 谢 !Thanks !