木馬程序的基因檢測方法探討

方文平

摘要：借鑒生物的基因機制，從木馬程序的基因片段入手，來探究檢測和查殺木馬程序的方法。

關鍵詞：木馬基因

1木馬程序簡介

木馬是一種新型的計算機網絡病毒程序。它利用自身所具有的植入功能，或依附其它具有傳播能力的病毒，或通過入侵后植入等多種途徑，進駐目標計算機，搜集其中各種敏感信息，并通過網絡與外界通信，發回所搜集到的各種信息，并能接受植入者指令，完成其它各種操作，如修改指定文件、格式化硬盤等。當木馬被應用在入侵和攻擊方面時，它顯示出巨大的危害性。一個典型的木馬程序通常具有以下四個特點：有效性、隱蔽性、頑固性和易植入性。

(1)有效性：是指入侵的木馬能夠與其控制端建立某種有效聯系，從而能夠充分控制目標機器并竊取其中的敏感信息；(2)隱蔽性：木馬病毒必須有能力長期潛伏于目標機器中而不被發現：(3)頑固性：是指有效清除木馬病毒的難易程度；(4)易植入性：木馬病毒有效性的先決條件。木馬技術與蠕蟲技術的結合使得木馬病毒具有類似蠕蟲的傳播性，這也極大提高了木馬病毒的易植入性。

2木馬病毒的新發展

2．1加殼技術

所謂“殼”就是專門壓縮的工具。是針對exe、tom和dll等程序文件進行壓縮，在程序中加入一段如同保護層的代碼，使原程序文件代碼失去本來面目，從而保護程序不被非法修改和反編譯，這段如同保護層的代碼，稱之為程序的殼。程序的殼有以下作用：(1)保護程序不被修改和反編譯；(2)對程序專門進行壓縮，以減小文件大小，方便傳播和存儲。

目前的防火墻和殺毒軟件雖然也具有了一定的脫殼能力。但病毒加殼又使用了新技術。

(1)加多層殼。這個加殼方法就是用兩種相同或者不同的加殼工具對木馬進行雙重加殼，這樣就等于將木馬程序進行了兩次壓縮計算，自然就會逃脫殺毒軟件和防火墻的第一層過濾。使用的加殼算法越多，逃脫防火墻和殺毒軟件查殺的幾率就越高。

(2)換殼。就是把原來的殼脫了換另一種殼。如FSG就是使用這種方法。還有就是用GUW32脫了再加殼，對于脫殼不干凈的軟件用UPXpr技術處理再加殼，也可以定制加殼軟件和定制殼。

2．2多態和變形技術

病毒多態是使病毒能夠改變自身存儲形式的技術，使傳統的依靠特征值檢測的技術失效。變形則在多態的基礎上更進一步。對整個病毒體都進行處理，使不同病毒實例的代碼完全不同，不但沒有固定的特征碼，而且也無需還原成沒有任何變化的病毒體。

3引入基因機制檢測木馬病毒

目前，木馬程序的查殺主要還是使用特征碼的查殺毒方法，但是它的弊端也是眾所周知的。在入侵檢測領域，無論是基于統計的入侵檢測還是基于規則的入侵檢測，它們的數據源都是從病毒的攻擊或者是表象出發，首先獲得病毒或者黑客的攻擊表象，然后提取出特征，再抽取表達成模式或者規則，供入侵檢測系統進行檢測和識別。對這種殺毒機制而言，高頻的升級都是滯后的。并且難以發現未知的木馬模式，也是制約它們進一步發展的瓶頸。我們必須透過病毒程序的表象看到它們的本質特征，即借鑒生物體的生物機理和機制，將基因機制引入信息安全領域。針對病毒的變形和多態，可以追溯到病毒和惡意軟件的本質，即運行時的核心序列和動作，如系統調用序列等，也就是基因層。在基因層面上，部分多態病毒和惡意軟件，有的基因一樣，有的能從它們的相似度上面找到多態和變形病毒程序之間的親緣關系，找到查殺抑制病毒的多態和變形的方法，指導一條切實可行，而且高效的途徑。對于基因機制引入病毒檢測和防護領域，包括以下幾個方面：

(1)表象到本質(基因)。從病毒的表象出發，找出病毒程序的本質或者是深層次的根源如系統調用序列，提取出類似生物體中的基因片段，每一個基因片段都對應一個或者多個病毒表象。

(2)單個基因入手。找出病毒基因，關注基因變異(稱病毒的基因片段為病變基因，相應的正常程序那部分為正常基因)，進而使用基因療法，用好的基因來置換和修復病變基因、基因修飾和基因失活。

(3)基因片段組合入手。惡意軟件中對應的一些基因片段，孤立地看它們都是正常的，但是當它們組合以后，便是一個惡意程序，如木馬程序。在這種情況下，我們關注的是基因片段之間的關聯關系，打破這種關聯，也就可以達到防止這些惡意軟件的目的。

(4)已知基因到未知基因。對基因進行誘發變異，產生新的基因。使用的具體方法是：一是定向誘變，就是使用一些領域的知識進行啟發式誘變；二是表型誘變，對未知基因進行誘變，發現新的顯性和隱性基因突變體及功能改變。

4引入基因機制的可行性分析

(1)計算機病毒單基因存在的可行性：在信息安全中有些病毒或者惡意程序自身的復制能力很強，也就是具有自我復制性。

針對這類病毒，如果能夠找出它們自我復制的那部分基因片段或者強行向EXE文件中寫入代碼的基因片段，就可以借鑒生物上面的基因療法，首先是報警，然后可以用正常的基因片段來對病變基因進行替換，從根本上達到檢測和防治病毒的目的。所以引入單個計算機病毒基因機制是可行的。

(2)計算機病毒基因組存在的可行性：計算機中的程序基因從單個基因角度看時是正常程序也擁有的基因片段，但是它們組合后產生的癥狀就是惡意程序的典型表現。

5結束語

計算機病毒的傳播和破壞能力發生了巨大變化，代碼級的木馬特征越來越難以捕捉。引入程序基因可以看見程序的本質特征，還能將靜態和動態相結合，準確定位程序執行效果。依靠已知木馬程序的表象特征，分析系統調用序列，抽取出木馬的系統調用序列基因片段，在此基礎上利用人工免疫的自學習能力，必將達到對一部分未知木馬程序的檢測能力。