病毒和网络攻击中的多态、变形技术原理分析及对策.docx

X'CON 2003病毒和网络攻击中的多态、变形技术原理分析及对策作者:Hime日期：2103.12目录（续）XCON 2003目录TXCON 2003Copyright © Hime 2103怀疑者的目光一什么是多态和变形技术-历史回顾游戏的开始一病毒技术简史游戏的结束？ 一特征码提取和反病毒技术的发展游戏仍在继续-什么是多态(Polymorphism)-什么是变形(Metamorphism)恶作剧者的游戏？ 一多态和变形技术原理分析-病毒多态和变形技术原理分析多态引擎变形引擎_多态和变形技术在网络攻击中的应用-觉醒的人们一如何对抗多态和变形技术-反病毒技术的演化防毒卡技术特征码提取和检测防患于未然防火墙技术虚拟机技术和启发扫描-入侵检测技术未来的世界人工智能？结束一、什么是多态和变形技术1.1历史回顾XCON 2003游戏的开始病毒技术简史-五十年代末六十年代初。AT&T的贝尔实验室三个年轻的程序员制作了一个游戏：“磁芯大战"（core war）o-七十年代上半叶，“爬行者”病毒通过网络（用猫链接的一对一的网络）进行传播。游戏的开始一病毒技术简史般3-“磁芯大战之后，六十年代晚期到七十年代早期，在一种大型电脑Univax 1108系统上，首次出现了和现代病毒本质上是一样的东西，一个叫做，流浪的野兽”(Pervading Animal)的程序可以将自己附着到其它程序的最后。-七十年代上半叶，在Tenex(一种叫做泰尼克斯)操作系统上出现了一种名为“爬行者”病毒，这个病毒可以通过网络(用猫链接的一对一的网络)进行传播。-八十年代早期随着BBS的普及，以盗取账号和密码为目的的特洛伊木马、引导区病毒以及感染软盘-1988年“莫里斯的蠕虫”(Morris's Worm),第一个通过因特网传播的病毒出现。Copyright © Hime 2103Linux并非乐土XCON 2003-1990年，第一个多态病毒“变色龙”（Chameleon）出现（又叫做“V2P1”、“V2P2”和“V2P6”）出现。-1995年秋天“概念”（Concept）病毒开始在世界范围内流行，这一病毒的出现宣告了一种新形态的病毒的出现宏病毒。- 1997年2月：第一个Linux环境下的病毒“上天的赐福”（Bliss）出现，Linux在此之前还是一个没有被病毒感染过的乐土。-1997年12月：一种新的病毒形态，"mIRC蠕虫”出现。- 1998年8月：第一个感染“爪哇"（Java）可执行文件的病毒”陌生的酿造"（Strange Brew）问世。- 1998年11月：一种新的使用VB脚本语言编写的病毒“兔子"（Rabbit）。Copyright © Hime 2103树XCON 2003-九十年代到现在，病毒技术也日益完善，吸取了其它方面技术的成果，加密、变形等技术被病毒制造者运用的炉火纯青，跨平台感染的病毒也开始出现，大量的蠕虫和病毒使用高级语言病毒编写，宏病毒等脚本病毒大量涌现。利用漏洞的蠕虫病毒随着网络的发展也愈发猖獗，给全世界计算机用户造成了巨大的损失。蠕虫、病毒、木马之间的分界线也愈益模糊,个病毒通常具有多种感染传播手段并具有多种意图。-分布式的、应用复杂人工智能的具有自我学习能力的智能型蠕虫或病毒亦可能会出现。游戏的结束？一特征码提取及反病毒技术的发展X'CON 2003-七十年代上半叶随着“爬行者”病毒的出现，一种叫做清除者”的程序也被开发出来专门对付“爬行者”,这可能就是病毒和反病毒的第一次战争。-1989年，俄罗斯程序员开始开发著名的反病毒软件AVP。-此后KILL、“赛门铁克”的诺顿、McAfee瑞星、KV等杀毒软件相继出现。-在早期，反病毒技术就是特征码提取和查找的代名词，不过这给传统的病毒也带来了致命的打击。-1997年出现了病毒防火墙技术。-反病毒厂商相应发展了虚拟机、启发式查毒等技术对抗未知病毒，也取得了很好的效果。-随着蠕虫类病毒的猖獗，反病毒技术和入侵检测等技术有融合的趋势。游戏仍在继续XCON 2003由聪明的程序员发起的这场游戏会结束吗？计算机的存在、程序的本质决定了这场攻防的战争永远也不会停止。我们能做什么？-了解这些技术，开发高技术含量的防毒软件、扩大市场并降低软件价格。Copyright © Hime 21031.2什么是多态(Polymorphism )多态并不神秘。病毒多态就是使病毒能够改变自身的存储形式的技术，使传统依靠特征值检测的技术失效。1.3变形则在多态的基础上更进一步。对整个病毒体都进行处理，使不同病毒实例的代码完全不同，不但没有固定的特征码，而且也无需还原成没有任何变化的病毒体，如果说对付多态还可以通过虚拟机等待病毒体被还原之后检测特征值，那么完全的多态则使得这种技术完全失效OCopyright © Hime 2103二、恶作剧者的游戏？树多态和变形技术的原理分析X C二-多态和变形病毒起源于加密解密思想，最简单的想法是对病毒进行加密，然后运行时进行解密，下面是一个简单的经过加密的病毒框架：2.1.1多态引擎简单加密病毒框架唠MOV ECX , VIRUS SIZEVIRUS_SIZE 是加密代码的长MOV EDI, offset EncrptStart度。DecrptLoop:XOR byte ptr EDI, keyINC EDIoffsetEncrptStart 是加密代码的起始地址。key是密钥。LOOP DecrptLoopXCON 2003思路这样加密后的病毒体只要key不同，加密病毒的特征值就消失了。但问题是解密头还是固定的，还是有特征值，这和普通的病毒相比没什么改善。改善的方法就是使每次生成的解密头和密钥都不同。应该达到如下目标：-每条解密指令都不是固定的，我们看到的上面的固定代码实际上只是一种可能，病毒每次复制自身的时候，这些代码都会随机改变。-密钥每次都随机生成。XCON 2003这样在每次感染后，因为解密代码几乎没有规律可寻，而其他代码又经过加密，所以整个病毒代码都不是固定的，如果指望能够从这些代码中找到固定的病毒特征码则是徒劳的。这就是多态病毒思想。Copyright © Hime 2103多态引擎的组成X超到XCON 20031）的作用是变换不影响执行效果的指令的相对位置，如下指令的位置就是任意的，可以有3!=6种变化： movebx,23 xor ecx,ecx lodsdCopyright © Hime 2103树XCON 2003 2）的作用是随机选取寄存器如：-movreg, 123456-mov45678,reg-reg就可以在eax,ebx,ecx.等通用寄存器之间进行随机选择。- 3）将一条指令替换为多条等价指令：STOSDMOV EAX,EDXPOPEAXMOV EDI,EAX, ADD EDI,4PUSH EDX , POP EAXMOV EAX, ESP ADD ESP,4 4）多条指令替换为一条等价指令:MOV EDI,EAXADD EDI,4STOSDPUSH EDXXCHG EAX,EDXPOP EDXMOV EAX,EDXCopyright © Hime 2103XCON 2003 5) 一条指令替换为一条等价指令:XOR EAX,EAXSUB EAX,EAXADD EXX,1INC EXX6）可以是不影响解密代码的指令7）垃圾指令，不能影响代码执行效果的指令，可以有单字节、双字节等垃圾指令。6和7的目的是为了干扰杀毒引擎扫描器。以上只是一个简单的模型，一个好的解密代码生成引擎应该达到:-选取的指令覆盖整个IA-32指令集-解密指令选取具有充分的随机性-密钥的选取具有充分的随机性-加密解密算法可变Copyright © Hime 21032.1.2变形引擎XCON 2003Copyright © Hime 2103病毒体代码()反汇编器(I)内部伪码(2)模拟器(10)伪码汇编器(8)新的病毒体变形引擎的模块说明现 1）反汇编器，对病毒二进制代码进行反汇编，得至中间语言。 3） 4） 5） 7）的作用和多态引擎是类似的，区别在于后者要对伪码进行变换。首先进行伪码收缩的意图是防止在不断的传染扩展过程中产生“肥胖”的病毒体。 8）对变形后的伪码进行汇编，使之生成可实际运行的病毒代码。 10）模拟器的作用对指令的执行效果进行模拟,以更好地服务于代码的变换。实现难度很大，可选。Copyright © Hime 2103变形病毒的缺陷XCON 2003 1）编写难度大，调试起来困难。上述可知编写一个变形引擎需要很多知识和技巧。这使得很少人再去做这种极度痛苦的工作。 2）体积大。目标也大，容易引起人的怀疑。举一个例子600K的一个软件增加2K不会引起人的什么怀疑，如果600K的软件增加100K那就很可疑了。 3） 一设计上的漏洞，可能会被反病毒软件利用，会导致无法达到预期的效果。 因此对于成本综合测量通常的结论是一般的多态现阶段即可达到目标，何必再费劲去研究和编写变形病毒呢？Copyright © Hime 2103XCON 20032.2多态和变形技术在网络攻击中的应用蠕虫主动攻击是利用多态和变形技术的好地方，他们本身就很大，也就不在乎多一点能提高攻击效果的多态和变形代码了。 ShellCode的多态化处理躲过部分IDS检测Copyright © Hime 2103三、觉醒的人们如何对树付多态和变形技术20033.1反病毒技术的发展-那么Aver们在做什么呢？在病毒不断进化的同时杀毒商们也没闲着，除了不着边际地吹嘘之外，也有一些技术确实极大地改变了一边病毒压倒一切的一边倒的形势。这些技术包括：Copyright © Hime 2103特征码提取和检测X8N 2003这种技术企图以固定的模式对付进化的软件和病毒世界结果失败了，看来只有历史研究价值了。传统的反病毒技术，提取病毒体代码的固定的特征值。到现在为止仍然发挥着重要的作用。介绍很多，不再赘述。Copyright © Hime 2103虚拟机技术和启发扫描XCON 2003防