李程瑜 齊玉東 孫明瑋 丁海強

（海軍航空工程學院 煙臺 264001）

1 引言

隨著計算機、網(wǎng)絡、信息等技術的飛速發(fā)展，人類社會已經(jīng)進入信息化時代。信息化帶給人們極大便捷的同時，也帶來了隱私泄露等信息安全問題，其中惡意代碼對信息安全構成的威脅最為嚴重。惡意代碼指故意編制或設置的、對網(wǎng)絡或系統(tǒng)會產(chǎn)生威脅或潛在威脅的計算機代碼。隨著網(wǎng)絡技術高速發(fā)展，惡意代碼［1］傳播方式也在迅速地演化，從引導區(qū)傳播，到郵件傳播、網(wǎng)絡傳播，發(fā)作和流行時間越來越短。然而相比于惡意代碼的發(fā)展，解決惡意代碼問題的技術手段缺乏實時性和敏銳性。為解決這一問題以及更好地了解惡意代碼的行為，本文提出了綜合性的惡意代碼行為分析平臺。

2 平臺概述

2.1 背景分析

惡意代碼（惡意代碼是對病毒、木馬、蠕蟲以及僵尸程序等的統(tǒng)稱，在本文中暫只考慮Windows平臺下的惡意代碼）是黑客們實施入侵、維持入侵的基礎。傳統(tǒng)研究人員通過對惡意代碼進行反匯編，在匯編代碼層次上，對惡意代碼展開詳細分析。但這有兩個前提條件：一是具備深厚的匯編技術基礎；二是分析效率要足以應付惡意代碼的不斷更新和變異。但在惡意代碼普遍加殼、變種不斷涌現(xiàn)的情況下，上述兩個條件都很難滿足。

自動惡意代碼行為分析方法［2］提供了一種新的視角來分析惡意代碼，它不再對惡意代碼本身實行靜態(tài)解析，而是讓惡意代碼運行在一個可控環(huán)境中，通過對惡意代碼所觸發(fā)的行為［3］來認識惡意代碼。更為重要的是，這種分析可在無人工干預的情況下自動化進行，通稱這種可控的環(huán)境為沙箱［4］（Sandbox）。類似的系統(tǒng)有：CWSandbox Anubis、Norman、ThreatExpert等。但這些系統(tǒng)只提供單個惡意代碼的分析功能［5］，對惡意代碼的大小、類型具有限制。經(jīng)研究，由于部分沙箱工具沒有解釋其實現(xiàn)原理和技術框架，在對P2P僵尸程序樣本進行分析時，很多工具并不能有效提供分析報告。同時，研究者也不可能有耐心使用瀏覽器完成數(shù)百上千次惡意代碼的提交，并在郵箱中等待報告。這些系統(tǒng)并沒有提供源代碼或者安裝程序來實現(xiàn)自行部署，故需要一種替代方案基于本地，自行部署惡意代碼行為分析系統(tǒng)，并根據(jù)需求隨時調整分析過程。

2.2 相關工作

最早由Raymond W.Lo提出針對惡意代碼的靜態(tài)代碼檢測方法［6］：通過提取惡意代碼靜態(tài)代碼中帶有惡意行為趨向的標示來檢測其他樣本。該方法被Christodorescu、Preda等擴展為基于語義的惡意代碼檢測方法［7］。與此相反的是，Szor、Popov等提出利用混淆（obfuscation）技術［8］來應對靜態(tài)代碼檢測的方法已在目前惡意代碼發(fā)展中得到不斷深入應用，惡意代碼加殼和加密均屬其常見類別。Royal，Martignoni等為了解決加殼帶來的阻礙，通過一種半動態(tài)半靜態(tài)方法執(zhí)行分析。其基本思想在于將惡意代碼進行動態(tài)調試執(zhí)行，當樣本執(zhí)行到完成外殼步驟時，開始對惡意代碼進行靜態(tài)分析，繞開復雜脫殼工作。盡管這些方法構造精巧，但靜態(tài)分析的效率和健壯性問題仍不能得到有效解決。故基于惡意代碼行為的動態(tài)分析方法開始涌現(xiàn)，“代碼可隱，行為難隱”成為其基本前提。

先 后 出 現(xiàn) 的 Anubis，BitBlaze，Norman，CWSandbox等沙盒系統(tǒng)，均可將惡意代碼執(zhí)行在精心構造的虛擬環(huán)境中，通過技術手段獲取惡意代碼行為蹤跡。但CWSandbox等以網(wǎng)頁形式應用且不開源，無法讓研究者離線獨立運行。故本文提出一種優(yōu)化方案：以開源形式實現(xiàn)CWSandbox對惡意代碼行為分析功能?；诖耍疚脑O計并實現(xiàn)了綜合性惡意代碼行為分析平臺，在以下幾個方面做了積極地探索：

1）針對開源軟件 Cuckoo Sandbox［9］在分析處理惡意代碼時存在API監(jiān)控種類較少、難以統(tǒng)計等不足，對其進行了針對性的改進開發(fā)。通過重新編譯DLL添加監(jiān)控的API函數(shù)種類，擴展了對惡意代碼的分析范圍。

2）本作品應用虛擬機技術架設“沙箱”，構建惡意代碼行為監(jiān)控環(huán)境。經(jīng)過課題組測試，發(fā)現(xiàn)當惡意行為發(fā)現(xiàn)軟件運行環(huán)境和惡意代碼監(jiān)控環(huán)境一致時，存在不安全性和未知性。故此提出在Linux系統(tǒng)下應用加載Windows系統(tǒng)的虛擬機構建“沙箱”，為惡意代碼分析提供了一個安全、可控環(huán)境，并使作品軟件程序更加輕量級。

3）惡意代碼都有數(shù)個進程，分析其行為時每個進程各產(chǎn)生一組API調用［10］子序列，該類型分析報告包含惡意代碼特征過于抽象，不利于后續(xù)研究展開。故此，本作品提出了整合API調用序列、統(tǒng)計API調用次數(shù)算法。對同一惡意代碼所有進程的API調用子序列按其第一個API調用時間先后順序排序整合，并統(tǒng)計每個API調用次數(shù)，生成總體報告。該算法從統(tǒng)計角度提取了惡意代碼部分特征，為敏感API選取提供了參考依據(jù)。

3 結構設計及關鍵技術

3.1 方案設計

本平臺擬實現(xiàn)對各類惡意代碼行為的分析，具體方案設計如圖1所示。

圖1 模塊化設計結構圖

1）虛擬機：構建惡意代碼行為監(jiān)測環(huán)境；

2）惡意代碼行為分析：實現(xiàn)惡意代碼行為監(jiān)測、跟蹤和捕獲功能；

3）報告生成模塊：合并API調用子序列，生成行為分析報告；

4）API調用次數(shù)統(tǒng)計模塊：統(tǒng)計惡意代碼調用API函數(shù)次數(shù)。

3.2 關鍵處理過程

為實現(xiàn)監(jiān)測、分析多種惡意代碼功能，本平臺融合沙箱技術、API Hook技術、DLL編寫技術、注入技術等，成功構建綜合性惡意代碼分析平臺。其原理及關鍵處理過程如下所述。

1）沙箱技術：本平臺基于沙箱（這里的沙箱采用虛擬機實現(xiàn)）技術，構建惡意代碼的動態(tài)行為分析平臺。沙箱是一種按照安全策略限制程序行為的執(zhí)行環(huán)境。沙箱技術指根據(jù)系統(tǒng)中每一個可執(zhí)行程序的訪問資源及其系統(tǒng)賦予的權限，建立應用程序“沙箱”，限制惡意代碼運行。每個應用程序都運行在自己的“沙箱”中，不會對其它程序的運行產(chǎn)生影響。同樣，操作系統(tǒng)與驅動程序也存活在自己的“沙箱”之中，故這些程序也不會影響其正常運行。針對每個應用程序，沙箱均準備了一個配置文件，限制該文件能夠訪問的資源與系統(tǒng)賦予的權限。這些策略允許選擇系統(tǒng)管理應用程序的方式：應用程序既可被“限制運行”，也可被“禁止運行”。通過在“沙箱”中執(zhí)行不受信任的代碼與腳本，系統(tǒng)可以限制甚至防止惡意代碼對系統(tǒng)完整的破壞。

2）API Hook［11］技術：所有程序的啟動都要調用API函數(shù)，包括惡意代碼在內。API Hook技術是一種用于改變API執(zhí)行結果的技術。本平臺利用API Hook技術，對惡意代碼API函數(shù)調用進行捕獲，進而改變系統(tǒng)API的原有功能。

3）DLL 編寫、注入技術［12］：DLL（Dynamic Link Library）是一個包含可由多個程序同時使用的代碼數(shù)據(jù)庫，不是可執(zhí)行文件。它提供了一種方法，使進程可以調用不屬于其可執(zhí)行代碼的函數(shù)。DLL注入將一個DLL放進某進程的地址空間，使其成為該進程的一部分。

3.3 軟件實現(xiàn)

平臺在 VS2010、gcc for windows、gdb for windows和mingw下開發(fā)完成。主要工作體現(xiàn)在以下兩方面：

1）編寫DLL函數(shù)增添API函數(shù)種類。

要增加監(jiān)控的API函數(shù)，需對API Hook實現(xiàn)過程有一定了解。本平臺利用mingw編寫cuckoomon.dll用以完成API Hook的主要流程，如圖2所示。為方便更新，設計并編譯一個通用組件chook.dll負責具體API函數(shù)指針的保存、轉移和返回，在cuckoomon.dll中嵌套調用［13］。

2）獲取API調用總序列、統(tǒng)計API調用次數(shù)。

把每個進程API調用子序列提出后作為整體，按照每個子序列中第一個函數(shù)的調用時間點進行排序，合并形成總序列。在此基礎上建立統(tǒng)計報告對API調用次數(shù)進行統(tǒng)計，整合所有API函數(shù)調用次數(shù)情況，并與其他惡意代碼分析平臺相互比對，驗證本平臺實用性，如圖3所示。

圖3 API調用次數(shù)統(tǒng)計流程圖

本平臺總體軟件實現(xiàn)步驟如下：

第1步，判斷是否安裝Linux操作系統(tǒng)，安裝則跳過此步；未安裝則建議安裝兼容性好、內核穩(wěn)定的通用發(fā)行版本ubuntu。

第2步，在Linux系統(tǒng)下加載綜合性惡意代碼分析模塊。

第3步，在Linux系統(tǒng)里加載裝有XP的虛擬機。完成后將可疑文件（常為惡意代碼）導入虛擬機中，對其監(jiān)測分析，得到分析結果并生成分析結果報告。如圖4所示。

4 軟件測試與結果分析

4.1 測試方案

本平臺擬從三個方面進行效能測試和功能性測試。

實驗1：在惡意代碼分析平臺中注入已知API調用序列的惡意代碼，測試分析平臺的試用性與正確性。

實驗2：與CWSandbox對比。CWSandbox分析功能較為全面，故將本平臺生成的分析報告從API調用序列報告之間的幾何距離和API調用數(shù)目兩方面與CWSandbox所得報告相比較，通過比較結果檢測本平臺分析功能的完備性。

實驗3：監(jiān)測新增API函數(shù)、統(tǒng)計API調用次數(shù)。本平臺將對某惡意代碼調用的每一個API函數(shù)次數(shù)進行統(tǒng)計，由多至少排列。該實驗從統(tǒng)計學角度提取了部分特征并判斷本平臺擴展的監(jiān)控種類實用性大小。

4.2 測試數(shù)據(jù)

為了能更好檢驗本平臺的惡意代碼行為分析功能，選用從德國蜜罐［14］組織獲取的3131個惡意代碼為實例數(shù)據(jù)集（可從網(wǎng)站www.mlsec.org/Malheur/獲得），這些惡意代碼經(jīng)6個獨立的反病毒廠商分析，共分為24個類別，共包含41個僵尸程序變種，具體如圖4所示。

圖4 惡意代碼數(shù)據(jù)類

4.3 結果分析

1）實驗1：惡意代碼行為分析準確性檢驗。用分析平臺對上述已知類型的惡意代碼進行跟蹤檢測，生成惡意代碼特征分析報告。報告顯示數(shù)據(jù)與預期客觀數(shù)據(jù)基本保持一致，一定程度上客觀、準確地反應了惡意代碼某些數(shù)據(jù)與特性，說明本平臺具有對普遍惡意代碼的跟蹤分析能力。

2）實驗2：與CWSandbox對比。在此實驗中，主要統(tǒng)計本平臺和CWSandbox對惡意代碼數(shù)據(jù)集分析結果中11個重要系統(tǒng)行為類別的API調用數(shù)目，如圖5所示（每一類中的第一列對應CWSandbox，第二列對應本平臺）。由圖5可知多數(shù)類別中本平臺所獲取的數(shù)目、對應統(tǒng)計結果大小分布與CWSandbox基本保持一致。

3）實驗3：監(jiān)測新增API函數(shù)、統(tǒng)計API調用次數(shù)。應用本平臺對某惡意代碼進行檢測分析，生成行為分析報告，對本平臺新增API監(jiān)控函數(shù)進行標記。記錄該惡意代碼所有進程的API調用序列，并統(tǒng)計每個API調用次數(shù)，按照由多至少順序排列，如表1所示。

圖5 API調用數(shù)目對比圖

表1 某惡意代碼API調用次數(shù)統(tǒng)計表

由數(shù)據(jù)可看出，本平臺新增API函數(shù)調用次數(shù)均排列于統(tǒng)計表前列，證明本平臺擴展的API監(jiān)控種類具有實用性。

5 結語

本文設計實現(xiàn)的綜合性惡意代碼分析平臺有效克服了傳統(tǒng)分析平臺［15］的局限性、模糊性，在惡意代碼分析的深度和廣度上均有擴展，主要具有以下優(yōu)點：

1）以開源為宗旨，在Linux系統(tǒng)下進行平臺開發(fā)和實現(xiàn)。運行形式為命令行，使平臺軟件程序更加輕量級。

2）采用在Linux系統(tǒng)下應用Windows虛擬機構建“沙箱”技術，為惡意代碼分析提供安全、可控環(huán)境。

3）核心函數(shù)以DLL形式編譯、存儲，便于開源代碼的改進、更新和維護。

本平臺為用戶提供了一個完備動態(tài)行為分析綜合解決方案。根據(jù)監(jiān)控對象和目的，可靈活調整設置、改造沙箱技術并捕獲API函數(shù)種類。本平臺針對性強、可操性強、覆蓋范圍廣，具有良好的實用性和適用性。