陳共龍

摘 要：隨著全球信息化的不斷推進，整個世界越來越被連成一個整體，威脅計算機系統(tǒng)安全的領域也越來越廣泛，其中以惡意代碼最為嚴重。而隨著計算機系統(tǒng)安全攻擊與防御技術的不斷較量，惡意代碼的攻擊手法、攻擊形式也越來越趨于隱秘化、復雜化。因此，有必要對當下的惡意代碼分析技術進行總結，從中發(fā)現(xiàn)新的發(fā)展方向，以應對不斷變化的惡意代碼形勢。

關鍵詞：惡意代碼；靜態(tài)分析；動態(tài)分析

Abstract：With the advancement of global informationization， the whole world is increasingly tending together as a whole， the realm of threat to the computer system security is becoming more and more widely， of which the malicious code is the most influential. And with the constantly battle between the computer system security attack and defense technologies， the attacks technique and the form of attack of malicious code are more and more tend to be secret， complicated. Therefore， it is necessary to summarize the current malicious code analysis technology to find a new development direction， in response to the changing situation of malicious code.

Key words：malicious code；static analysis；dynamic analysis

隨著全球信息化進程的不斷推進，網(wǎng)絡開放性的不斷增強，網(wǎng)絡應用系統(tǒng)涉及領域的擴展，計算機所面臨的威脅也越來越廣泛了，其中惡意代碼對計算機安全的威脅是最為嚴重的[1]。惡意代碼是一類在不被察覺的情況下嵌入代碼到另一段程序中，以達到破壞計算機系統(tǒng)數(shù)據(jù)、破壞數(shù)據(jù)的安全性和完整性、影響用戶心理的程序。惡意代碼的分類主要有計算機病毒、網(wǎng)絡蠕蟲、特洛伊木馬、后門等。目前惡意代碼的技術手段日益豐富，如多態(tài)、代碼混淆等，但與此同時，與惡意代碼之矛對立的惡意代碼分析之盾也有了巨大的進步。

本文分析研究了當前主流的惡意代碼分析技術及其進展，首先對惡意代碼分析技術進行了概述，接著從靜態(tài)分析和動態(tài)分析的角度，對不同的分析技術進行了研究和比對，最后對本文進行了總結。

1 惡意代碼分析技術概述

惡意代碼分析器借助某種惡意代碼分析方法，判斷程序是否有惡意行為。

現(xiàn)假定D=為程序X的元素矢量，每個元素矢量d1…dn為該程序某一方面的特征，如特征代碼、特征結構、特征行為等。函數(shù)M為惡意代碼分析器，定義域為程序的元素矢量D和惡意代碼分析算法A。則有分析結果R=M（D，A），其中R屬于{Y，N}。

分析器M分析程序X，得出分析結果。若R=Y，則該程序為惡意程序；反之，該程序為非惡意程序。雖然COHEN[2]已經(jīng)證明了任意一個程序是否包含惡意行為是不可判定的，但是我們?nèi)匀荒軌蚋鶕?jù)惡意代碼在傳播過程中的特性，來判定程序是否為惡意程序。

惡意代碼分析技術的分類方法有兩種。一種是按照分析目標的差別分類：基于主機和基于網(wǎng)絡?；谥鳈C分析的方式包括基于特征碼簽名、基于校檢和、啟發(fā)式數(shù)據(jù)挖掘方法；基于網(wǎng)絡分析的方式有基于Deep packet Inspection和基于HoneyPot方式[3]。另一種是按照分析時是否執(zhí)行代碼分類：靜態(tài)分析和動態(tài)分析。靜態(tài)分析方法是指在不執(zhí)行二進制程序情況下進行分析的方法，如二進制統(tǒng)計分析、反編譯、反匯編等；動態(tài)分析方法是指在目標程序執(zhí)行的情況下，通過分析調用的函數(shù)等確定目標程序執(zhí)行的過程，匹配特征函數(shù)序列庫，從而判定目標程序是否為惡意代碼。

本文主要依據(jù)后者對惡意代碼分析技術進行分類。

2 靜態(tài)分析技術

2.1 特征碼掃描技術

特征碼掃描技術是惡意代碼掃描技術的一種，它是傳統(tǒng)殺毒軟件的主要利器。特征碼掃描技術主要依賴的數(shù)據(jù)集是特征碼數(shù)據(jù)庫，該數(shù)據(jù)集是通過函數(shù)運算或者從程序直接提取的唯一標志。特征碼的線性結構可以表示成：Sig（I）=。由于傳統(tǒng)的特征碼掃描技術使用的是固定的檢測邏輯，很難適應新的檢測活動要求，同時也很難分解成可以并行的操作，影響了檢測的效率。因此，考慮向傳統(tǒng)模型中加入一個觸發(fā)邏輯，增強檢測邏輯的語義，并對檢測操作進行嚴格的分解，以提高檢測的效率[4]。還可以通過快速的字符串掃描模式匹配算法提高特征碼掃描的效率[5]。

目前的基于傳統(tǒng)特征碼掃描改進的技術，在提高檢測變種、未知惡意代碼方面也有了不錯的提高。假定特征向量F=<相似代碼特征S，行為特征M，系統(tǒng)函數(shù)集合A>，則在原來簡單的特征碼基礎上，使用這三個特征來表征一類惡意代碼的特征，以達到縮小特征庫規(guī)模，快速檢測惡意代碼，特別是變種代碼的目的[1]。除了同一類型的惡意代碼具有實現(xiàn)模式的相似性以外，不同類型的惡意代碼也具有作為其編程實現(xiàn)的重要屬性，即字符空間關系的獨特特征。利用這個特征，能夠為未知惡意代碼的自動分析提供很好的基礎[6]。

2.2 啟發(fā)式掃描技術

啟發(fā)式指的是“運用某種方式或方法去判定事物的知識和技能”或“自我發(fā)現(xiàn)的能力”。啟發(fā)式掃描技術是基于定義的掃描技術和給定的判定規(guī)則，檢測程序中是否存在可疑功能，并判定惡意代碼的掃描方法[7-8]。

啟發(fā)式掃描技術在某種意義上是基于專家系統(tǒng)產(chǎn)生的，由于正常程序和惡意程序在執(zhí)行上的不同，熟練的匯編級程序員能夠迅速的發(fā)現(xiàn)這類非正常的程序。常見的異常表現(xiàn)有使用非常規(guī)指令、存在花指令、解密循環(huán)代碼、調用未導出的API等[9]。其衍生思路可以用于惡意軟件的取證分析，以軟件為實現(xiàn)反取證目的使用的技術程度來作為判定惡意軟件的指標，即反取證的行為越多，越可能是惡意軟件。這個方法被Murray[10]靈活的運用于分析惡意軟件的反取證行為。

2.3 文件完整性分析技術

基于文件完整性的分析技術是指，通過使用某種單向散列算法，如MD5、SHA1、CRC32、Xerox等，計算系統(tǒng)動態(tài)鏈接庫函數(shù)的哈希值，與在干凈的系統(tǒng)環(huán)境下計算的哈希值進行比對。如果有變化，則可以判斷該文件很可能被惡意代碼修改了，該系統(tǒng)很可能已經(jīng)不再安全。

這個思想早在1999年Cohen的一篇論文中就已經(jīng)提出過，當時展現(xiàn)出來的優(yōu)勢是，以散列值的變化作為判斷惡意代碼感染的依據(jù)，容易實現(xiàn)且保護能力較強。但其問題也十分明顯。某些正常程序會在更新的時候對自己進行修改，根據(jù)這種方式進行的檢測必定會產(chǎn)生不小的誤判問題[9]。

在之后的完整性分析技術研究中，都對Cohen的思想進行了較好的改進。如果對系統(tǒng)中所有文件都進行哈希值檢測，必定會對系統(tǒng)造成巨大的開銷，用戶友好性和用戶體驗度必將極大的降低。為了解決這個問題，新的研究中只分析系統(tǒng)中關鍵部分的動態(tài)鏈接庫文件，這些庫文件在系統(tǒng)中往往是不會改變的。當惡意代碼制造者試圖修改系統(tǒng)庫函數(shù)時，用戶通過計算其哈希值并進行校驗，就能立刻檢測出惡意代碼，同時也在一定程度上降低了修改自身函數(shù)的正常程序的誤判[2]。

系統(tǒng)庫函數(shù)的簽名（即單向散列哈希值）是保存在系統(tǒng)的數(shù)據(jù)庫中，數(shù)據(jù)庫如果不加強保密工作，也會成為黑客入侵的重點。一種簡單的保護簽名的方法，是將簽名存儲在只讀介質的數(shù)據(jù)庫中。但這種方法對于用戶來說，是十分不方便管理與維護的。另一種比較容易想到的方法是對數(shù)據(jù)庫進行加密，但是每次取出、放回簽名的解密、加密過程又會增加系統(tǒng)開銷[11]。

可見，基于文件完整性的分析技術的優(yōu)勢和缺陷是十分明顯的。因此，在使用基于文件完整性的分析技術時，應當根據(jù)使用的對象以及環(huán)境需求來選擇分析技術。

3 動態(tài)分析技術

3.1 代碼仿真分析技術

在惡意代碼運行時追蹤惡意代碼的行為，能夠高效的捕捉到異常行為。這種方法允許在真實環(huán)境中運行，但是一旦惡意代碼失控，將會感染真實主機，造成不必要的損失。因此，使用代碼仿真分析技術模擬真實環(huán)境，將是一個非常好的選擇。

目前，已經(jīng)出現(xiàn)了一些惡意代碼仿真分析工具。開源虛擬機bochs是一個全系統(tǒng)仿真的虛擬機，模擬Intel X86架構的CPU以及計算機的其他設備，其良好的代碼設計十分適合進行二次開發(fā)，如增加指令記錄功能等，并能在一定程度上抵抗反調試技術[12]。Sandboxie[13]允許系統(tǒng)在“沙盤環(huán)境”中運行瀏覽器或者其他的程序，它是基于系統(tǒng)局部進行的保護，僅僅是幾個危險的程序在沙盤中運行，其他一切規(guī)則都正常運行。BSA是基于Sandboxie的惡意代碼分析工具，它能夠捕獲Sandboxie中的注冊表修改、文件修改、API調用、訪問網(wǎng)絡的行為，并能自動的進行惡意代碼分析。

3.2 行為監(jiān)控分析技術

行為監(jiān)控分析技術是通過監(jiān)控、記錄目標程序的各種類型的行為，根據(jù)其對系統(tǒng)產(chǎn)生的負面影響的程度來判定其是否為惡意代碼。

行為監(jiān)控分析技術按照分析的行為類型可以分為網(wǎng)絡行為分析和主機行為分析。

網(wǎng)絡行為分析是通過分析目標程序在網(wǎng)絡中的通信行為來判定其惡意性的。傳統(tǒng)的網(wǎng)絡通信行為分析的方法是深度包檢測技術，即從網(wǎng)絡層和傳輸層兩個層面分析惡意代碼行為，并提取能夠有效描述惡意代碼行為的四個特征，用正則表達式匹配攻擊模式檢測木馬程序，從而識別出惡意代碼，但是當網(wǎng)絡流量數(shù)據(jù)巨大的時候，無法及時分析出結果[14-15]。因此，一種新的分析系統(tǒng)應運而生，該系統(tǒng)使分析系統(tǒng)的前端主機能夠在不重組數(shù)據(jù)包的情況下，就分析出數(shù)據(jù)包是否為惡意代碼，從而提高了分析效率[16]。

主機行為分析是依據(jù)惡意程序的惡意行為，如API調用序列、參數(shù)的依賴輪廓等，來對目標程序進行判斷[17]。運用的比較好的模型，是通過組合對應權限下用戶可能的操作構建的攻擊樹模型，在基礎的攻擊樹模型上增加危害權值、攻擊樹文本圖等元素，并結合代碼仿真技術中的虛擬機運行技術，解決了傳統(tǒng)攻擊樹模型行為差異性描述不準確、危害量化不合理等問題，從而提供更為高效的惡意代碼分析結果[18-20]。

3.3 可執(zhí)行路徑分析技術

基于可行路徑的分析技術有兩種應用思路：一種是結合靜態(tài)分析中的完整性校驗技術，對內(nèi)核級惡意代碼在內(nèi)存中的執(zhí)行路徑進行完整性校驗；另一種是為了對惡意代碼進行更為完整的功能分析，遍歷惡意代碼所有可能的執(zhí)行路徑。

內(nèi)核級惡意代碼實現(xiàn)靜默修改系統(tǒng)的執(zhí)行路徑，一般是通過修改系統(tǒng)庫函數(shù)的返回值、修改系統(tǒng)庫函數(shù)表的轉向等手法來實現(xiàn)。一旦內(nèi)核級惡意代碼拿到了系統(tǒng)內(nèi)核的控制權，那么對于應用層上的任何用戶軟件，包括應用層的殺毒軟件都將會造成巨大的威脅。此時的殺毒軟件將形同虛設，被內(nèi)核級惡意代碼玩弄于鼓掌之中，系統(tǒng)將永遠不會返回一個真實的值，此時的系統(tǒng)也已然成為了惡意代碼的傀儡。通過分析發(fā)現(xiàn)，惡意代碼不管使用何種隱藏手法，其最終必將運行于內(nèi)存中。其中，系統(tǒng)庫函數(shù)在內(nèi)存中執(zhí)行的指令順序、指令數(shù)都是固定的，通過計算正常的系統(tǒng)庫函數(shù)內(nèi)存指令的哈希值，并與被測系統(tǒng)庫函數(shù)內(nèi)存指令哈希值進行比對，一旦發(fā)現(xiàn)兩者不同，就可以立即判定系統(tǒng)被惡意代碼修改了，應當及時采取措施[11]。

為了更為完善的分析惡意代碼的功能，經(jīng)常會借助多路徑分析的方法。其基本思想是，通過修改變量或者系統(tǒng)環(huán)境，以實現(xiàn)代碼不同的執(zhí)行路徑?，F(xiàn)有的基于代碼覆蓋的多路徑分析方法中，通過標記已經(jīng)執(zhí)行過的路徑以減少重復遍歷，提高了分析的執(zhí)行效率；對于傳統(tǒng)多路徑分析無法比較好的解決循環(huán)的問題，現(xiàn)有的分析方法中對循環(huán)的語句結構設定了一個時間界限，防止了循環(huán)語句在某些情況下陷入死循環(huán)的問題[21]。

4 總結

從本文的分析比較中，可以發(fā)現(xiàn)，惡意代碼的分析技術有基于特征碼的、基于啟發(fā)式的、基于代碼仿真的和基于行為監(jiān)控的。除了本文描述的幾種方法外，還有動靜態(tài)分析相結合的雙重惡意代碼檢測技術、程序語義的邏輯分析技術、基于社會計算的分析技術等。相信在惡意代碼分析這個活躍的領域中，將會源源不斷的有新的技術被挖掘與應用進來。

[參考文獻]

[1]陳娟英，范明鈺，王光衛(wèi).一種基于親緣性的惡意代碼分析方法[J].信息安全技術，2014（1）.

[2]COHEN，F(xiàn)：Computational aspects of computer viruses[J].Computer&Security.Volume 8，Issue 4，June 1989，pp.297-298.

[3]秦軍m張海鵬m蘇志和m林巧明.一種基于二維行為特征的惡意代碼識別方法[J].計算機技術與發(fā)展，2013（6）.

[4]王海峰.基于智能特征碼的反病毒引擎設計[J].計算機工程，2010（3）.

[5]單長虹.殺毒軟件編程精華[J].黑客防線，2004（03S）.

[6]李鵬m王汝傳m武寧.基于空間關系特征的未知惡意代碼自動檢測技術研究[J].計算機研究與發(fā)展，2012（5）.

[7]Symantec：Understanding heuristics：Symantecs Bloodhound technology[Z].Symantec White Paper Series，Volume XXXIV，1997.

[8]曾憲偉，張智軍，張志.基于虛擬機的啟發(fā)式掃描反病毒技術[J].計算機應用與軟件，2005（9）.

[9]奚琪，王清賢，曾勇軍.惡意代碼檢測技術綜述[C].計算機研究新進展——河南省計算機學會2010年學術年會論文集，2010.

[10]Murray Brand.Malware Forensics：Discovery of the Intent of Deception[J].Journal of Digital Forensics，Security&Law；2010，Vol.5 Issue 4，pp.31.

[11]齊琪.基于內(nèi)存完整性的木馬檢測技術[D].華中科技大學，2006.

[12]鄧超國，谷大武，李卷孺，孫明.一種基于全系統(tǒng)仿真和指令流分析的二進制代碼分析方法[J].計算機應用研究，2011（4）.

[13]http：//www.sandboxie.com/，http：//bsa.isoftware.nl/，last visited at 2014-3-9.

[14]蔡洪民，伍乃騏，滕少華.分布式木馬檢測系統(tǒng)設計實現(xiàn)[J].計算機應用與軟件，2012（5）.

[15]李世淙，云曉春，張永錚.一種基于分層聚類方法的木馬通信行為檢測模型[J].計算機研究與發(fā)展，2012（2）.

[16]舒胤明，范明鈺，王光衛(wèi).一種新的惡意代碼檢測方法[J].計算機安全，2013（9）.

[17]苗啟廣，王蘊，曹瑩，劉文闖.面向最小行為的惡意程序檢測研究[J].系統(tǒng)工程與電子技術，2012（4）.

[18]謝樂川，袁平.改進攻擊樹的惡意代碼檢測方法[J].計算機工程與設計，2013（5）.

[19]溫志淵，翟健宏，徐徑山，歐陽建國.基于攻擊行為樹的惡意代碼檢測平臺[J].信息網(wǎng)絡安全，2013（9）.

[20]姜政偉，王曉箴，劉寶旭.基于最小攻擊樹的UEFI惡意行為檢測模型[J].計算機工程與應用，2012（32）.

[21]王祥根，司端鋒，馮登國，蘇璞睿.基于代碼覆蓋的惡意代碼多路徑分析方法[J].電子學報.2009（4）.