摘要：傳統(tǒng)的惡意代碼檢測工具一般都是基于惡意代碼的單次執(zhí)行，但是有些惡意的活動(dòng)只是在一些特定的環(huán)境下才能被觸發(fā)。本文提出了一個(gè)探索多種運(yùn)行分支的方法，這個(gè)方法不但能發(fā)現(xiàn)傳統(tǒng)惡意代碼能檢測出來的運(yùn)行分支，還能識(shí)別只在遇到某種特定環(huán)境才會(huì)觸發(fā)的惡意行為。

關(guān)鍵詞：惡意代碼

快照

惡意行為

惡意代碼，是所有帶有惡意的各類代碼的通稱(比如病毒、蠕蟲、特洛伊木馬)。惡意代碼不僅僅對電腦用戶的隱私構(gòu)成威脅，它還能造成電腦用戶巨額的經(jīng)濟(jì)損失。這個(gè)問題的嚴(yán)重性已經(jīng)使非計(jì)算機(jī)專業(yè)的人都知道了CodeRed(紅色代碼)或者Sasser(震蕩波)，這是因?yàn)榘踩珕栴}已經(jīng)影響到了幾百萬人，而且還成為了主流新聞。

一、傳統(tǒng)惡意代碼的檢測方法和缺陷

惡意代碼檢測的傳統(tǒng)方法是在一個(gè)在虛擬的計(jì)算機(jī)環(huán)境下運(yùn)行這個(gè)程序，當(dāng)程序運(yùn)行時(shí)跟操作系統(tǒng)之間的活動(dòng)都會(huì)被記錄下來，同時(shí)還記錄哪些系統(tǒng)調(diào)用和參數(shù)被使用。然后自動(dòng)報(bào)告這個(gè)程序已經(jīng)創(chuàng)建或訪問過的系統(tǒng)資源，如文件或者注冊表項(xiàng)。但是，傳統(tǒng)的分析系統(tǒng)有一個(gè)很嚴(yán)重的缺陷：它們僅僅是基于單次跟蹤執(zhí)行的，也就是說，它們的報(bào)告只能顯示這個(gè)軟件在特定的測試環(huán)境下一段時(shí)期內(nèi)被發(fā)現(xiàn)的活動(dòng)，因此，這個(gè)方法有可能不會(huì)知道在改變了的環(huán)境中會(huì)有那些行為。

二、解決傳統(tǒng)惡意代碼檢測缺陷的方法

為了解決這個(gè)問題，就需要擴(kuò)大測試范圍。在不同的環(huán)境中運(yùn)行程序，或者使用不同的操作系統(tǒng)版本、安裝不同的軟件和不同的時(shí)間設(shè)置。這就需要以下兩個(gè)主要步驟：第一，需要追蹤程序怎么使用輸入的數(shù)據(jù)。第二，當(dāng)找到一個(gè)重要的分支點(diǎn)，需要保存當(dāng)前的程序狀態(tài)并且能在將來重新載入這個(gè)狀態(tài)，以便于執(zhí)行另外一條分支。

1，跟蹤輸入的數(shù)據(jù)

在傳統(tǒng)的基于Taint模式的系統(tǒng)中，通過輸入一兩個(gè)值就能很容易的知道某個(gè)內(nèi)存地址。要想獲得這個(gè)信息，需要依賴三個(gè)因素：一個(gè)污點(diǎn)源、一個(gè)影像存儲(chǔ)器和傳播Taint信息的機(jī)器指令擴(kuò)展。

可以依賴傳統(tǒng)的污點(diǎn)系統(tǒng)來追蹤程序讀入的數(shù)據(jù)。我們使用很多系統(tǒng)準(zhǔn)備讀入的并且作了標(biāo)簽的污點(diǎn)源，同時(shí)還用影像存儲(chǔ)器來跟蹤被指定到每一個(gè)內(nèi)存地址的當(dāng)前標(biāo)簽。當(dāng)系統(tǒng)調(diào)用被程序使用，我們就可以為每一個(gè)收到結(jié)果的內(nèi)存地址指定一個(gè)標(biāo)簽。

2，保存和重新載入程序快照

存儲(chǔ)輸入信息的每一個(gè)內(nèi)存地址都會(huì)附上一個(gè)標(biāo)簽，約束系統(tǒng)可以知道具有不同標(biāo)簽的值之間是怎么聯(lián)系的。基于這些信息，我們就呵以探索程序的多個(gè)運(yùn)行分支了，肖一個(gè)分支被識(shí)別，就可以創(chuàng)建當(dāng)前程序狀態(tài)的快照。

當(dāng)前運(yùn)行狀態(tài)的快照包含了使用中的完整的虛擬地址空間內(nèi)容。程序被允許繼續(xù)執(zhí)行以前，還必須保證條件運(yùn)算本身也被考慮到了，原因是在實(shí)際中，無論那條分支被執(zhí)行，條件運(yùn)算在一系列可能的標(biāo)簽參數(shù)的值中執(zhí)行了一個(gè)約束。我們把這個(gè)約束稱為分支約束。當(dāng)標(biāo)簽的值被重寫的時(shí)候必須考慮和記著這個(gè)分支約束。否則，我們可能創(chuàng)建一個(gè)不統(tǒng)一的狀態(tài)或者運(yùn)行到一個(gè)不可能的分支。當(dāng)if分支執(zhí)行的時(shí)候，條件被直接使用與分支約束。否則，當(dāng)else分支被執(zhí)行，約束條件在被加到約束系統(tǒng)之前必須被重置。

當(dāng)程序狀態(tài)被重載的時(shí)候，需要載入以前保存的內(nèi)容，這些內(nèi)容包括程序的地址空間和用存儲(chǔ)的值覆蓋當(dāng)前的值。這樣我們就可以發(fā)現(xiàn)惡意代碼的程序分支。接著，我們就可以檢測約束系統(tǒng)來確定在哪種情況下這個(gè)分支被執(zhí)行。

三、結(jié)論

本文討論了一個(gè)探索惡意代碼多運(yùn)行分支的方法，目的就是對未知的程序可能執(zhí)行的動(dòng)作做一個(gè)更綜合的概述。

我們可以通過追蹤程序輸入的數(shù)據(jù)(如本地時(shí)間、文件檢查和從網(wǎng)絡(luò)上讀取資料等)來對程序的條件分支進(jìn)行動(dòng)態(tài)的分析。當(dāng)程序沿著一個(gè)分支執(zhí)行時(shí)，就對當(dāng)前狀態(tài)創(chuàng)建一個(gè)快照，當(dāng)程序隨后結(jié)束時(shí)，我們就重置回先前所保存的那個(gè)狀態(tài)并且修改條件的參數(shù)，使另外的分支被執(zhí)行。