馮常青 張巖

摘 要 隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，信息安全面臨著諸多的安全威脅，越來越多的攻擊者在程序中插入惡意行為。安全研究人員基于特征碼的靜態(tài)分析，通過特征庫高效快速地對惡意行為進(jìn)行匹配。但隨著攻擊技術(shù)的進(jìn)步，更多的設(shè)計(jì)者選擇將惡意行為隱藏在程序代碼中，對其進(jìn)行加密和變形，以此來抵御靜態(tài)分析。所以如何進(jìn)行惡意軟件行為的捕獲，準(zhǔn)確判定出惡意軟件，成為信息安全領(lǐng)域亟待解決的問題。

關(guān)鍵詞 惡意軟件 行為研究 檢測防范

中圖分類號：TP393文獻(xiàn)標(biāo)識(shí)碼：A

1背景

惡意軟件是指在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行損害系統(tǒng)和偷取用戶隱私信息的軟件。這類如病毒、蠕蟲、木馬、后門的惡意軟件已經(jīng)成為計(jì)算機(jī)和網(wǎng)絡(luò)最大的威脅之一①。惡意軟件的開發(fā)者編寫如間諜軟件、廣告軟件等狹義角度意義上的惡意軟件，在網(wǎng)絡(luò)上傳播和蔓延，使得接入互聯(lián)網(wǎng)的任何系統(tǒng)都處于將被攻擊的風(fēng)險(xiǎn)中。

面對惡意行為帶來的信息安全問題，安全產(chǎn)品的分析人員開發(fā)出自動(dòng)化分析程序工具用以抽取和分析惡意軟件的行為。然而，惡意程序有時(shí)能檢測出模擬或虛擬的分析環(huán)境，為了逃避分析工具的檢測，它會(huì)減少攻擊行為或立即結(jié)束進(jìn)程。這種惡意代碼與安全軟件之間的對抗日益加劇。所以，對網(wǎng)絡(luò)程序的惡意行為進(jìn)行檢測和研究成為了信息安全方面迫切需要解決的問題。

2惡意軟件的行為研究

2.1注冊表操作

一般來說每類文件都會(huì)有各自默認(rèn)的打開方式和程序，且打開方式都會(huì)注冊在注冊表里。大部分惡意軟件會(huì)在特定的位置采用更改文件關(guān)聯(lián)程序的方式達(dá)到打開文件的同時(shí)而自動(dòng)運(yùn)行的目的。

2.2文件操作

有些惡意軟件不需要修改注冊表，利用修改win.ini和system.ini這類系統(tǒng)文件來啟動(dòng)自身程序。這類惡意軟件一般采用更改系統(tǒng)設(shè)置，如禁用任務(wù)管理器;禁用隱藏文件或系統(tǒng)的顯示開關(guān);禁用注冊表、禁用文件夾選項(xiàng)等，用來降低計(jì)算機(jī)發(fā)現(xiàn)的難度。為達(dá)到開機(jī)自啟動(dòng)的目的，有的惡意軟件則將自己添加到系統(tǒng)根目錄下的AUTOEXEC.BAT和windows目錄下的WinStart.bat文件中，有的惡意軟件是通過將自己添加到開始菜單的“啟動(dòng)”文件選項(xiàng)中;有的惡意軟件將系統(tǒng)的必須和重要文件替換成自身程序代碼，因此系統(tǒng)運(yùn)行時(shí)就會(huì)啟動(dòng)被替換的程序和這類惡意軟件，一般用戶很難發(fā)現(xiàn)。

2.3部署調(diào)用工具

惡意軟件調(diào)用，部署工具的行為主要分為部署于系統(tǒng)文件的相似文件與更改自身文件名和刪除自身這兩種方式。大多數(shù)惡意軟件在下載成功后為獲取用戶活動(dòng)和完成向外傳輸信息任務(wù)，通常會(huì)在windows或system目錄下生成若干個(gè)可執(zhí)行惡意軟件的文件工具，如Explore.exe等。有的惡意軟件如果運(yùn)行成功，就將隨機(jī)更改文件名或自我刪除，使用戶很難發(fā)現(xiàn)。

2.4連接指定站點(diǎn)

基本所有的惡意軟件都要通過訪問網(wǎng)絡(luò)來達(dá)到感染計(jì)算機(jī)的目的，通常先向外發(fā)出連接請求，再利用郵件的形式把用戶信息傳送出去。有的惡意軟件則是利用連接定向的站點(diǎn)和服務(wù)器，下載大量的間諜軟件和盜號木馬，甚至利用惡意軟件下載器把惡意程序代碼下載到用戶的計(jì)算機(jī)系統(tǒng)上，然后進(jìn)行加載并完成感染。有的惡意軟件則是利用用戶計(jì)算機(jī)系統(tǒng)上的ARP惡意攻擊程序代碼對其所在的網(wǎng)絡(luò)進(jìn)行ARP欺騙攻擊，最后嚴(yán)重影響到網(wǎng)絡(luò)安全。

2.5隱藏活動(dòng)界面

惡意軟件在活動(dòng)時(shí)，一般都會(huì)將自身的運(yùn)行程序和窗口隱匿起來，在工具欄和任務(wù)欄上用戶都無法找到惡意軟件的行蹤，達(dá)到不被用戶發(fā)現(xiàn)的目的，有利于惡意程序在操作系統(tǒng)中長期運(yùn)行和駐留。

2.6操作其它進(jìn)程

有的惡意程序?yàn)檫_(dá)到開機(jī)自動(dòng)啟動(dòng)的目的，將自身注冊為系統(tǒng)服務(wù)。有的惡意軟件則采用通過偽裝的方法來達(dá)到隱藏自己的目的，令用戶很難察覺，主要包括真隱藏和偽隱藏兩種不同的類型。有的惡意軟件在運(yùn)行的過程中會(huì)關(guān)閉一些如殺毒軟件和防火墻的正常進(jìn)程，或啟動(dòng)其他惡意程序進(jìn)程，實(shí)施強(qiáng)度更大的破壞活動(dòng)。

2.7瀏覽器劫持

有的惡意軟件在未得到管理員許可的情況下，通過自行篡改用戶瀏覽器的相關(guān)設(shè)置，致使用戶無法正常上網(wǎng)或強(qiáng)迫用戶訪問站點(diǎn)。瀏覽器劫持行為主要包括不能正常上網(wǎng)，對用戶所訪問網(wǎng)站的類型內(nèi)容擅自進(jìn)行刪除、添加、修改與迫使用戶訪問指定網(wǎng)站或限制用戶修改瀏覽器設(shè)置三種不同類型的行為現(xiàn)象。

2.8惡意收集用戶信息

有些惡意軟件在未經(jīng)用戶許可的情況或未明確提示用戶下（用戶無法查看自己的信息是否被收集，未提示用戶是否允許收集信息的選項(xiàng)），惡意收集用戶的信息。

從軟件惡意行為及其發(fā)展來看，惡意軟件主要存在傳播多樣化、多平臺(tái);基于系統(tǒng)缺陷的攻擊時(shí)間縮短;存活能力增強(qiáng);基于系統(tǒng)缺陷的攻擊時(shí)間縮短;破壞性和易用性更大等發(fā)展趨勢。

3惡意軟件檢測工具的設(shè)計(jì)

3.1系統(tǒng)目標(biāo)

（1）建立一個(gè)虛擬運(yùn)行系統(tǒng)：在用戶計(jì)算機(jī)中要建立一個(gè)虛擬運(yùn)行系統(tǒng)，該運(yùn)行系統(tǒng)要求對用戶正常的使用不造成任何影響，且在每次分析未知程序后要迅速恢復(fù)到純凈狀態(tài)，防止幾次結(jié)果相互影響，出現(xiàn)誤報(bào)、漏報(bào)的情況。

（2）建立惡意行為特征庫：通過對所有已知惡意程序的惡意行為進(jìn)行分析，建立惡意行為特征庫，供檢測工具使用，連接互聯(lián)網(wǎng)，及時(shí)更新變種惡意程序的行為特征，提高系統(tǒng)對已知和未知惡意行為的識(shí)別能力。

（3）對程序進(jìn)行動(dòng)態(tài)分析：對于百分之百可以確定的惡意程序，做隔離或刪除、提醒用戶處理，對于不能確定的未知程序，在上述虛擬運(yùn)行系統(tǒng)中試運(yùn)行，在一段時(shí)間內(nèi)觀察其行為特征，最終判定出是否為惡意程序。

3.2模塊設(shè)計(jì)

惡意行為檢測系統(tǒng)分為6個(gè)部件：檢測系統(tǒng)部件、惡意行為特征庫部件、檢測機(jī)制部件、虛擬運(yùn)行部件和分析部件、監(jiān)測點(diǎn)部件、反饋機(jī)制部件。各個(gè)部件之間的關(guān)系如下圖所示：

（1）檢測系統(tǒng)：首先需要建立一個(gè)與用戶操作系統(tǒng)相似的虛擬運(yùn)行系統(tǒng)，這個(gè)系統(tǒng)給未知程序提供一個(gè)運(yùn)行環(huán)境，獨(dú)立存在于用戶計(jì)算機(jī)中，對用戶不造成任何影響，且在運(yùn)行程序后要迅速恢復(fù)到初始的純凈狀態(tài)，避免幾次運(yùn)行結(jié)果相互影響。注意，該系統(tǒng)要避免被惡意程序識(shí)別為檢測機(jī)制。

（2）惡意行為特征庫：在該檢測系統(tǒng)中，最重要的模塊是惡意行為特征庫，在該特征庫中要包含現(xiàn)有所有已知惡意程序的信息、運(yùn)行機(jī)制、惡意行為特征，并且需要連接互聯(lián)網(wǎng)實(shí)時(shí)更新，確保檢測工具在第一時(shí)間發(fā)現(xiàn)惡意程序的變種代碼，提高該檢測系統(tǒng)的適用性。這一點(diǎn)在整個(gè)檢測工具中非常重要。

（3）檢測機(jī)制：在該運(yùn)行系統(tǒng)中，要存放一個(gè)惡意程序的檢測機(jī)制，根據(jù)特征庫中描述的惡意行為，檢測機(jī)制要匹配特征以判斷程序是否為惡意程序，如果百分之百匹配成功時(shí)將此程序標(biāo)定為惡意程序，隔離處理。在辨識(shí)出程序可能存在惡意行為時(shí)，標(biāo)記該程序并隔離該程序，進(jìn)行下一步檢測。

（4）虛擬運(yùn)行部件和分析部件：在運(yùn)行系統(tǒng)中，需要建立一個(gè)類似計(jì)算機(jī)中虛擬機(jī)的虛擬部件，在該部件中虛擬運(yùn)行檢測機(jī)制標(biāo)定的可疑程序，捕獲該程序在虛擬運(yùn)行檢測系統(tǒng)中的各項(xiàng)行為，分析該可疑程序是否對用戶信息進(jìn)行惡意存取或者惡意篡改，進(jìn)一步利用分析部件對程序代碼等進(jìn)行檢測和分析，判定出該程序是否具有惡意性，并形成最終的結(jié)論。

（5）監(jiān)測點(diǎn)：在上述步驟中會(huì)出現(xiàn)兩種運(yùn)行結(jié)論，一種為正常運(yùn)行程序，一種為惡意程序，針對第一種正常程序，監(jiān)測點(diǎn)對其進(jìn)行記錄標(biāo)記，并在一段時(shí)間內(nèi)檢測其的運(yùn)行，出現(xiàn)惡意行為立即回收至新型檢測工具中重新檢測，如果在一段時(shí)間中沒有出現(xiàn)惡意行為，則可取消標(biāo)注結(jié)束對其的追蹤。對第二類已經(jīng)確認(rèn)了的惡意程序，提醒用戶，對其進(jìn)行隔離處理。

（6）反饋機(jī)制：當(dāng)發(fā)現(xiàn)新的惡意程序時(shí)應(yīng)及時(shí)反饋至惡意程序行為體征庫，為其他連接互聯(lián)網(wǎng)的檢測工具提供可靠的依據(jù)，減少此種新型檢測工具的工作量。

4結(jié)束語

在本文中，對各類惡意程序的行為進(jìn)行了深入的研究，并對檢測工具進(jìn)行了概要設(shè)計(jì)。伴隨著檢測技術(shù)的不斷改進(jìn)，未來發(fā)展方向?qū)?huì)體現(xiàn)在以下幾個(gè)方面：

（1）惡意行為特征庫越來越龐大，可以隨時(shí)更新惡意軟件行為并及時(shí)反饋至用戶，可以使檢測工具更為容易的檢測出惡意軟件。

（2）在發(fā)現(xiàn)惡意軟件后計(jì)算機(jī)能迅速做出響應(yīng)，將惡意軟件自動(dòng)隔離或刪除，避免對計(jì)算機(jī)用戶造成影響。

（3）結(jié)合各類檢測和修復(fù)技術(shù)，在對惡意行為進(jìn)行識(shí)別的基礎(chǔ)上，對程序利用的程序漏洞進(jìn)行研究并修復(fù)。

注釋

① SymantecInternetSecurityThreatReport[EB/OL].2012

參考文獻(xiàn)

[1] 冀風(fēng)宇.基于信息流的Android應(yīng)用污點(diǎn)分析技術(shù)的研究[D].成都：電子科技大學(xué)，2015.

[2] 周霞.信息安全現(xiàn)狀及發(fā)展趨勢[J].大眾科技，2006（07）：85-86.

[3] 惡意程序的發(fā)展趨勢[J].計(jì)算機(jī)安全，2009（03）：109-111.

[4] 王麗.基于虛擬化網(wǎng)絡(luò)服務(wù)的惡意軟件網(wǎng)絡(luò)行為分析[A].第四屆信息安全漏洞分析與風(fēng)險(xiǎn)評估大會(huì).

[5] 奚小溪，孫榮會(huì).惡意軟件的行為與檢測技術(shù)分析[J].安徽建筑工業(yè)學(xué)院學(xué)報(bào)（自然科學(xué)版），2012（03）.

[6] 孟雪梅.計(jì)算機(jī)惡意軟件及防范對策探討[J].科技傳播，2013（23）.

[7] 卞松山，路軼，石曉虹.360移動(dòng)互聯(lián)網(wǎng)惡意軟件分析平臺(tái)[J].信息安全與技術(shù)，2013（12）.