计算机病毒与防范技术

安徽师范大学——计算机与信息学院————作者(授课老师):周文

---

第7章 病毒对抗技术

一、反病毒技术综述

1.1 反病毒技术的产生与发展简介

• 从“消毒软件”到“防毒卡”

  – 早期的消毒程序是一对一的，即一个程序清除一种病毒

  – 90年初，我国最早的一个防病毒卡诞生在深圳的“华星”公司

  – 93-94年，防病毒卡迪销售达到了一个顶峰

• “查杀防三合一”实时反病毒软件的诞生

  – 20世纪90年代末期，出现了具有实时防病毒功能的反病毒软件

1.2 反病毒技术的发展历程

• 第一代反病毒技术

  – 采用单纯的病毒特征代码分析，清除染毒文件中的病毒

• 第二代反病毒技术

  – 采用静态广谱特征扫描技术检测病毒，可以检测变形病毒，但是误报率高

• 第三代反病毒技术

  – 将静态扫描技术和动态仿真跟踪技术结合起来，将查找病毒和清除病毒合二为一

  – 全面实现防、查、杀等反病毒所必备的各种手段，以驻留内存方式防止病毒的入侵，能清除检测到的病毒，不会破坏文件和数据

• 第四代反病毒技术

  – 基于病毒家族体系的命名规则、基于多位CRC校验和扫描机理、启发式智能代码分析模块、动态数据还原模块(能查出隐蔽性极强的压缩加密文件中的病毒)、内存解毒模块、自身免疫模块等先进的解毒技术

  – 启发式扫描，源于人工智能技术，是基于给定的判断规则和定义的扫描技术，若发现被扫描程序中存在可疑的程序功能指令，则作出存在病毒的预警或判断

• 如今，杀毒软件仍然是以特征检测杀毒为住，行为启发式扫描检测技术为辅

1.3 主动内核(Active K)技术与实时监视

• 传统的反病毒技术，基于被动式的防御理念

• 这种理念最大的缺点在于将防治病毒的基础建立在病毒侵入操作系统或网络系统以后，作为上层应用软件的反病毒产品，才能借助于操作系统或网络系统所提供的功能来被动地防治病毒

• 主动内核(Active K)技术，是在操作系统和网络的内核中嵌入反病毒功能，使反病毒成为系统本身的底层模块，实现各种反毒模块与操作系统和网络无缝连接，而不是一个系统外部的应用软件

• 主动内核技术能够在病毒突破计算机系统软、硬件的瞬间发生作用

1.4 计算机病毒的防治技术分类

• 病毒预防技术

• 病毒检测技术

• 病毒消除技术

• 病毒免疫技术

二、计算机病毒的检测技术与原理

2.1 检测计算机病毒的方法有两种

• 手工检测

  – 利用Debug、PCTools、SysInfo、WinHex等工具软件进行病毒的检测

  – 这种方法比较复杂，费时费力

  – 可以剖析病毒、可以检测一些自动检测工具不能识别的新病毒

• 自动检测

  – 利用一些专业诊断软件来判断引导扇区、磁盘文件是否有毒的方法

  – 自动检测比较简单，一般用户都可以进行，但需要较好的诊断软件

  – 可方便地检测大量的病毒，自动检测工具的发展总是滞后于病毒的发展

2.2 特征值检测技术

• 一些常见的病毒具有很明显的特征，即病毒中含有特殊的字符串。用抗病毒软件检查文件中是否存在这些特征，从而判定是否发生感染

• 计算机病毒的特征值有别于病毒标识，特征值是指一种病毒有别于另一种病毒的字符串，有时简称特征串

• 其局限性在于只能诊断已知的计算机病毒，而优越性在于能确诊计算机病毒的类型

• 特征值数据库可以定义如下：

  – 如果行头第一个字符为空格，则视为注释行

  – 每行中用一个或多个链接的空格分隔病毒特征值、病毒名、备注三个部分，每一部分中不能有空格，病毒名中可以用下横线连接多个单词

2.3 传统的特征值搜索技术实现步骤

• 采集已知的病毒样本

• 在病毒样本中，抽取特征值

  – 抽取的特征值应比较特殊，不要与普通正常程序代码吻合

  – 抽取的特征值要有适当长度

• 获取病毒特征值的方法

  – 把病毒在计算机屏幕上出现的信息作为病毒的特征串

  – 用病毒标识作为病毒的特征值

  – 从病毒代码的任何地方开始取出连续的、不大于64字节且不含空格（ASCII值为32）的字符串都可以作为计算机病毒的特征串

• 将特征串纳入病毒特征数据库

  – 在实际应用中，使用扫描引擎实现病毒特征的匹配

• 传统的病毒特征串搜索技术只能诊断已知的计算机病毒

• 病毒特征值检测方法对从未见过的新病毒，因无法事先知道其特征值，因而无法检测这些新病毒

2.4 传统的病毒特征串搜索技术的缺陷

（1）抽取特征串时未对特征串进行分析，没有对同种病毒的多个同种染毒宿主上相同位置处的特征串进行比较，找出共同点，再以此为特征串

（2）搜索病毒时只是单纯地依次比较特征串，没有智能化处理

2.5 广谱特征串过滤技术

• 该技术在一定程度上可以弥补以上缺陷

• 广谱特征串建立的方法如下：

  （1）提取变形病毒的多个感染样本，最好是对同一宿主的多次单独感染样本，不是多次重复感染

  （2）在每个样本的相同位置抽取适当长度的病毒代码，这是传统意义的病毒特征串

  （3）比较这些病毒特征串，依次记下各个样本完全相同的代码，如果一定位置上的代码各个样本不是完全相同或根本不同，那么把这些常变换的代码用两个问号“??”来代替，每一个双问号代表一个字节

• 广谱特征串例子

  • B8 ?? 42 ?? ?? ?? ?? %% B4 40 %% %% B8 ?? 57

• 建立病毒广谱特征串有以下几个注意事项：

  • 上述病毒广谱特征串后面的汉字串中不得使用西文双引号
  • 双问号“??”和百分号“%%”可交叉使用

• 当两组病毒特征代码之间的距离大于32个字节时，大于部分可增加一些双问号来接续，或多用几个双百分号。每一个双百分号最多可代表32个字节

• 特征值中至少要有三组不变的病毒代码

• 特征值检测方法的优点是：

  • 检测准确快速、可识别病毒的名称、误报警率低、并且依据检测结果可做解毒处理

  • 其缺点是：

    • 速度慢
    • 不能检查未知病毒和多态性病毒
    • 不能对付隐蔽性病毒

2.6 校验和检测技术

• 根据正常文件的信息(包括文件名称、大小、时间、日期及内容)，计算其校验和

• 定期地或每次使用文件前，检查文件现有信息算出的校验和与原来保存的校验和是否一致

2.7 运用校验和法查病毒一般采用三种方式

• 在检测病毒工具中纳入校验和法

• 在应用程序中，放入校验和法自我检查功能

• 将校验和检查程序常驻内存

• 比较的对象可分为

  • 系统数据
  • 文件的头部
  • 文件的属性
  • 文件的内容

2.8 校验和检测技术的优点

• 方法简单，能发现未知病毒，被查文件的细微变化也能发现
• 其缺点是：必须预先记录正常文件的校验和，会误报警，不能识别病毒名称，不能对付隐蔽型病毒，并且效率低

2.9 行为监测技术

• 利用病毒的特有行为特性监测病毒的方法，称为行为监测法，也称为人工智能陷阱法

• 通过对病毒多年的观察、研究，人们发现病毒有一些行为，是病毒的共同行为，而且比较特殊，在正常程序中，这些行为比较罕见

2.10 常见的病毒行为特性

• 占用INT 13H

• 修改DOS系统数据区的内存总量

• 对可执行文件做写入动作

• 病毒程序与宿主程序的切换

• 搜索API函数地址

2.11 类病毒行为

• 极少数正常程序也有类似的病毒行为，称为类病毒行为

  • 杀病毒工具去写有毒的可执行程序
  • 某些安装程序动态修改可执行程序
  • 加密程序对被加密程序的写入行为

2.12 感染实验法诊断的原理

• 这种方法的原理是利用了病毒的最重要的基本特征：感染特性

• 检测未知引导型病毒的感染实验法

• 检测未知文件型病毒的感染实验法

2.13 分析法诊断的原理

• 使用分析法的人一般不是普通用户，而是反病毒技术人员

• 使用分析法要求具有比较全面的计算机体系结构、操作系统以及有关病毒技术的各种知识

• 分析法是反病毒工作中不可或缺的重要技术

• 使用分析法的目的在于：

  – 确认被观察的引导扇区和程序中是否含有病毒

  – 确认病毒的类型和种类，判定其是否是一种新病毒

  – 搞清楚病毒体的大致结构，提取特征识别用的字符串或特征字，并增添到病毒代码库供病毒扫描和识别程序使用

  – 详细分析病毒代码，为制定相应的反病毒措施制定方案

• 启发式代码扫描技术源于人工智能技术，是基于给定的判断规则和定义的扫描技术

• 若发现被扫描程序中存在可疑的程序功能指令，则作出存在病毒的预警或判断

• 启发式代码分析扫描技术是对传统的特征代码扫描法查毒技术的改进

• 在特征代码扫描技术的基础上，利用对病毒代码的分析，获得一些统计的、静态的启发式知识，形成一种静态的启发式代码扫描分析技术

三、启发式代码扫描技术

3.1 概述

• 病毒和正常程序的区别

  • 在Windows下，一般正常的应用程序不会往系统目录中释放可执行程序然后进行自删除，或者直接搜索其他可执行程序进行修改
  • 病毒程序通常最初的指令是重定位、直接写盘操作、解码指令，或搜索某路径下的可执行程序等相关操作指令序列

• 一个运用启发式扫描技术的病毒检测软件，实际上就是以特定方式实现的动态解释器或反编译器，通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机

• 早期的启发式扫描软件采用代码反编译技术，反编译出被检测文件代码

• 在软件内部保存病毒行为的必用代码

• 使用“静态代码分析法”和“代码相似比较法”判定是否含有病毒

• 可疑程序功能的权值与报警标准

  • 对可疑的程序代码指令序列按照安全和可疑的等级进行排序，根据病毒可能使用和具备的特点而授以不同的加权值
  • 例如，格式化磁盘的功能操作很少出现在正常的应用程序中，而在病毒程序中出现的几率极高，于是这类操作指令序列可获得较高的加权值

• 如果一个程序的加权值的总和超过一个事先定义的阀值，那么，病毒检测程序就可以声称“发现病毒”

• 仅仅一项可疑的功能操作远不足以触发“病毒报警”的装置

• 为了避免“狼来了”的谎报和虚报，病毒检测程序常把多种可疑功能操作同时并发的情况定为发现病毒的报警标准

• 启发式扫描技术有时也会把一个本无病毒的程序判断为染毒程序，这就是所谓的查毒程序虚警或谎报现象

• 减少和避免误报(谎报) ，必须努力做好以下几点

  • 准确把握病毒行为，精确定义可疑功能调用集合，除非满足两个以上的病毒重要特征，否则不予报警
  • 增强对常规正常程序的识别能力
  • 增强对特定程序的识别能力
  • 类似“无罪假定”的功能

• 启发式扫描主要分为两类——静态启发式扫描和动态启发式扫描

• 静态启发式扫描程序有一个巨大的代码数据库，数据库把每一个代码串(称为特征码)与它所代表的行为特征联系在一起，并给每一个行为特征赋一个加权值;

• 动态启发式扫描技术主要增加了对CPU的模拟。模拟了一个基本运行环境的计算机，对可能是病毒的文件先进行模拟运行，等加密病毒自解密后再进行静态启发式扫描

3.2 启发式代码扫描技术中的几个关键问题

• 代码数据库的建立

  – 对病毒行为特征的提取是启发式扫描技术效果好坏的关键

• 病毒特征权值的设定

  – 对各个特征码进行统计分析，根据具有这种特征码的文件是病毒的可能性的大小来分配权值

• 权值底线的设置

  – 针对不同的情况对安全性的要求不同，权值底线的设置可以根据具体情况来进行

3.3 传统扫描技术与启发式扫描技术的结合

• 传统的扫描技术基于对已知病毒的分析和研究，在检测时能够更准确、减少误报

• 对待此前根本没有出现过的新病毒，有可能产生漏报的严重后果

• 基于规则和定义的启发式代码分析技术则可以检测新病毒

• 传统扫描技术与启发式扫描技术的结合，可以使病毒检测软件的检出率提高到前所未有的水平，而另一方面，又大大降低了总的误报率

启发式判定结果	传统式判定结果	可能的真正结果
干净	干净	非常可能干净
干净	有毒	很可能有毒
有毒	干净	可能有毒
有毒	有毒	确实染毒

• 启发式反毒技术的未来展望

  • 在相当长的时间里虚报和漏报的概率不可能达到0%，因为病毒在本质上也是程序，某些正常程序可能使用具有病毒特征的功能(可疑功能调用)
  • 反毒技术的进步也会从另一方面激发和促使病毒制作者不断研制出更新的病毒，具有某种反启发式扫描技术的功能，从而可以逃避这类检测技术的检测

四、虚拟机查毒技术

• 虚拟机（VM）是一种软件仿真器或软件分析器，通过软件软件虚拟化、硬件虚拟化，让程序中一个虚拟/仿真环境中运行

• 查毒的虚拟机是一个软件模拟的CPU，它可以象真正CPU一样取指令、译码、执行，可以模拟一段代码在真正CPU上运行得到的结果

4.1 虚拟机的基本工作原理和简单流程

• 给定一组机器码序列，虚拟机自动从中取出第一条指令操作码部分，判断操作码类型和寻址方式以确定该指令长度

• 在相应的函数中执行该指令，并根据执行后的结果确定下条指令的位置

• 如此循环反复直到某个特定情况发生以结束工作

4.2 设计虚拟机查毒的目的

• 为了对抗加密变形病毒

• 虚拟执行技术使用范围远不止自动脱壳，它还可以应用在跨平台高级语言解释器、恶意代码分析、调试器

4.3 虚拟分析

• 计算机实现了模拟人工反编译、智能动态跟踪、分析代码运行的过程，其效率更高、更准确

• 病毒可能实施的破坏在虚拟机监控下，不会真正发生

• 虚拟机可以抓住一些病毒“经常使用的手段”和“常见的特点”，最终生成广义病毒行为描述算法，获得病毒行为的启发性知识

• 虚拟机技术仍然与传统技术相结合，并没有抛弃已知病毒的特征知识库

五、实时监控技术

• 病毒实时监控会在文件打开、关闭、清除、写入等操作时检查文件是否是病毒携带者

• 根据用户的决定选择不同的处理方案，如清除病毒、禁止访问该文件、删除该文件或简单地忽略，从而有效地避免病毒在本地计算机上的感染传播

5.1 病毒实时监控的设计主要存在以下几个难点

• 驱动程序的编写不同于普通用户态程序的编写，其难度很大

• 驱动程序与Ring3下客户程序的通信问题

• 驱动程序所占用资源问题

5.2 Windows 9x下病毒实时监控的实现主要依赖于以下三项技术

• 虚拟设备驱动(VxD)编程

• 可安装文件系统钩子(IFSHook)

• VxD与Ring3下客户程序的通信(APC/EVENT)

• Windows NT/2000下病毒实时监控的实现主要依赖于以下三项技术

  • NT内核模式驱动编程

    – Windows NT/2000下不再支持VxD

  • 拦截IRP

  • 驱动与Ring3下客户程序的通信(命名的事件与信号量对象)

六、计算机病毒的免疫技术

• 目前已知的基于免疫的计算机病毒检测系统的研究主要分为两个方向

  • 以Forrest等人为代表的基于免疫算法的研究，主要探讨免疫基本原理在病毒检测的可行性
  • 以IBM试验室为代表的利用免疫框架构建大规模免疫应用系统的研究

• 1994年，New Mexico大学的Forrest和她所在的研究小组最早将免疫学的原理应用于计算机安全领域

• 设计了一个用来保护计算机系统的人工免疫系统

• 通过检测非授权使用，维护数据文件的完整性和阻止病毒的扩散来提高计算机系统的安全性

• 最突出的特点就是继承了人体免疫系统中区分自体(self)和”非自体”(non-self)的机制

• 自体是指合法用户行为、未被破坏的数据等

• ”非自体”是指非授权用户的行为、病毒和恶意代码或网络攻击等

• 基于文件异常的病毒检测

  • 设计了一个否定选择算法，用来检测被保护数据和程序文件中的变化，以发现计算机病毒
  • 主要思路是通过监视文件的异常变动来监控可能的病毒感染
  • 和一般的病毒异常检查工具的主要不同在于其检测手段是多个概率意义上的检测器

• 基于进程异常的检测系统

  • 异常检测通过和正常模式(系统，文件，进程，用户行为等等)的比较发现攻击的可能性
  • 根据Unix系统环境中的合法行为来定义自体，通过对进程的监视，发现入侵系统的恶意攻击行为

6.1 IBM实验室的免疫系统

• 系统由病毒分析机(Virus Analysis Machine)、管理机(Administrative Machine)和客户机(Client Machine)构成

• 病毒分析机使用启发式方法分析病毒的行为和结构（3），根据可疑的行为和已知的病毒特征码自动提取特征码

• 管理机负责收集客户机的病毒样本（1），并向病毒分析机提交（2）。
• 并且负责获取病毒中心的最终解决方案（4，7），并向受感染和没受感染的客户机传播（5，6）

七、反病毒引擎技术剖析

7.1 概述

• 反病毒软件由应用程序、反病毒引擎和病毒库三部分构成

• 应用程序的主要功能就是把扫描对象提供给引擎进行病毒扫描、提供反病毒软件与用户的交互接口。

• 引擎的主要功能就是对应用程序传入的扫描对象进行格式分析和病毒扫描，并将扫描的中间结果和最终结果通过应用程序回调接口返回给应用程序，并根据应用程序的返回结果进行相应的处理。

  • 引擎本身还负责病毒库的加载、管理、升级、遍历及卸载

  

• 目前引擎的体系架构

  

7.2 反病毒引擎的技术特征

• 邮件、邮箱、压缩包拆分技术

• 虚拟与真实相结合的脱壳技术

• 脚本引擎token特征提取技术

• 木马指纹特征技术

• 利用可执行引擎执行特征提取技术

• 宏病毒解码和查杀的相关技术

• 内存扫描和内存监控技术
• 未知宏病毒虚拟执行技术
• 未知脚本病毒指纹特征判定技术
• 未知可执行病毒行为判定技术

7.3 反病毒引擎的发展方向

• 反病毒保护措施日益全面和实时

• 反病毒产品体系结构面临突破

• 对未知病毒的防范能力日益增强

• 企业级别、网关级别的产品越来越重要

• 关注移动设备和无线产品的安全

---

本节结束 2019年10月4日

返回目录