計算機病毒行為特征的檢測分析方法

謝辰

國際關系學院 北京 100091

0 引言

隨著互聯網技術的日漸普及和高速發展，全球化通信網絡已經成為大勢所趨。但網絡在提供巨大便利的同時，也存在種種安全隱患和威脅，其中危害最大影響最廣的莫過于計算機病毒。在網絡帶寬不斷升級的今天，計算機病毒的傳播速度和變種速度也隨之加快，問題也越來越嚴重，引起了人們的廣泛關注，并成為當前計算機安全技術研究的熱點。據國內外各大反病毒公司統計，2008 年截獲的各類新病毒樣本數已經超過1000萬，日均截獲病毒樣本數萬。對于現如今計算機病毒變種的不斷增加，反計算機病毒的一個研究方向便是怎樣在不對病毒匯編代碼分析的前提下，分析出已知或未知的計算機病毒的全部行為特征。

1 計算機病毒行為特征

(1) 傳染性

傳染性是計算機病毒最重要的特征，是判斷一段程序代碼是否為計算機病毒的依據。計算機病毒是一段人為編制的計算機程序代碼，這段程序代碼一旦進入計算機并得以執行，它會搜尋其他符合其傳染條件的程序或存儲介質，確定目標后再將自身代碼插入其中，達到自我繁殖的目的。是否具有傳染性是判別一個程序是否為計算機病毒的重要條件。

(2) 非授權性

病毒隱藏在合法程序中，當用戶調用合法程序時竊取到系統的控制權，先于合法程序執行，病毒的動作、目的對用戶是未知的，是未經用戶允許的。

(3) 隱蔽性

病毒一般是具有很高編程技巧、短小精悍的程序，它們一般附著在合法程序之中，也有個別的以隱含文件形式出現，目的是不讓用戶發現它的存在。如果不經過代碼分析，病毒程序與合法程序是不容易區別開來的。

(4) 潛伏性

大部分的病毒傳染系統之后一般不會馬上發作，它可長期隱藏在系統中，只有在滿足其特定條件時才啟動破壞模塊。如著名的在每月26日發作的CIH病毒。

(5) 破壞性

病毒可分為良性病毒與惡性病毒。良性病毒多數都是編制者的惡作劇，它對文件、數據不具有破壞性，但會浪費系統資源。而惡性病毒則會破壞數據、刪除文件或加密磁盤、格式化磁盤等。

(6) 不可預見性

從對病毒檢測方面看，病毒還有不可預見性。不同種類的病毒，它們的代碼千差萬別。雖然反病毒技術在不斷發展，但是病毒的制作技術也在不斷的提高，病毒總是先于相應反病毒技術出現。

(7) 可觸發性

計算機病毒一般都有一個或者幾個觸發條件。如果滿足其觸發條件，將激活病毒的傳染機制進行傳染，或者激活病毒的表現部分或破壞部分。病毒的觸發條件越多，則傳染性越強。

2 實驗環境

本文的實驗環境為一臺PC機，其運行Windows XP SP3系統和裝有Windows XP SP3系統的Vmvare7.0虛擬機，其中還有OllyDBG、Filemon、SReng2、Regshot、SSM在開始實驗之前，我們先要確保虛擬機內的系統純凈，然后保存虛擬機的快照。

3 檢測分析計算機病毒過程

運行Regshot進行注冊表快照比較。

首先，運行Regshot軟件，然后選擇日志輸出路徑后點擊1st shot，即對純凈系統下的注冊表進行快照，之后不要退出程序，接下來運行我們要測試的new orz.exe，再點擊2st shot，即對運行病毒后的注冊表進行快照。在第二次快照完成之后，點擊compare便會在IE瀏覽器中顯示出注冊表的變化，由于該病毒修改表項過多，此處只展示一部分，如圖1所示。

圖1 病毒修改表

通過報告我們知道new orz共對注冊表造成影響有541項，通過上圖我們能夠發現，此病毒對很多殺毒軟件進行了映像劫持操作。

(1) 對使用系統端口進行比較

在進行完注冊表對比后，我們將虛擬機系統還原至純凈快照，運行CMD，切換到C盤根目錄下，輸入netstat –an >netstat1.txt，這樣做是保存純凈系統下系統所開端口的記錄。之后運行病毒文件，再次輸入netstat –an >netstat2.txt。對比兩個TXT文檔的變化，在這里，用的是UltraEdit進行的比較。

通過比較我們發現在運行new orz.exe之后，虛擬機有了一個端口為1401的TCP鏈接，指向一個特定IP的80端口，打開TCPview軟件，對所有TCP鏈接進行監控后發現這個1401端口正是new orz.exe打開用來與遠程主機通信的。

(2) 用SReng2分析病毒樣本靜態行為

再次將虛擬機還原到純凈快照處，這次我們要用到SReng2軟件。打開SReng2，點擊左側的智能掃描，然后開始掃描，保存掃描結果。在運行病毒后再次運行SReng2，并保存掃描結果，用UE對比兩次結果。我們能夠發現在進程中多了new orz.exe進程，同時發現其獲得了SeDebugPrivilege和SeLoadDriverPrivilege權限，并且在有一個不是在C:WindowsSystem32目錄下的svchost.exe也同樣獲得了這兩個權限。

(3) 通過Filemon觀察病毒的操作

在這里需要提前說明一點，根據前面的分析研究發現new orz.exe病毒也對Filemon進行了映像劫持，所以需要將主程序名更改一下方可正常運行。同樣，還原虛擬機至純凈快照，打開Filemon，將過濾條件設置成為new orz.exe，然后運行病毒程序。由于信息量很大，只列舉一部分，如圖2所示，我們可以發現在其在C:Documents and SettingsAdministratorLocal SettingsTemp目錄下創建了綠化.bat，還發現其在相同的目錄下創建了svchost.exe和urlmOn.dll。

圖2 病毒程序

(4) OllyDBG分析

還原虛擬機系統，運行PEID對new orz.exe進行查殼，發現其使用的是WinUpack 0.39 final的殼。對其脫殼，脫殼過程不在這里進行說明了。脫殼之后顯示是VC6.0編寫的。將其載入OD，查找字符串，結合我們剛才對new orz.exe行為的分析，我們發現了其創建的綠化.bat和修改的權限，圖3是病毒對注冊表的修改，我們可以發現其對大部分的殺毒軟件都進行了映像劫持，同時還有任務管理器。

圖3 病毒對注冊表的修改

(5) 通過HIPS軟件SSM對病毒進行動態分析

與Filemon一樣，在用SSM對病毒進行動態監控時，也需要將SSM主程序更改名稱。最后一次將系統還原至純凈，安裝SSM，并將系統內的安全進程設為信任。再次運行病毒，如圖4，可以發現new orz.exe運行了winlogon.exe ，之后services.exe運行了Beep.sys等等，在這里就不一一舉例了。

圖4 運行病毒

4 總結

本文通過對new orz.exe計算機病毒為例，總結了使用虛擬機和軟件行為分析技術對檢測病毒行為的各個步驟：注冊表快照對比、端口開放與通信對比、利用SReng2比較分析、通過使用Filemon觀察病毒文件操作、研究分析OD字符串和使用HIPS軟件對病毒進行動態觀察等，使得在接下來的查殺和今后的防御有了極大的幫助。

[1] 彭國軍,傅建明,張煥國.淺析反病毒技術現狀挑戰及發展趨勢[J].信息網絡安全.2009.

[2] 馮天樹.計算機病毒行為特征分析[M].黑客防線2010.

[3] 艾天予.計算機病毒的攻防技術探析[J].2010.

[4] 高敏芳,王冬.WinPE病毒實驗方案設計[J].實驗室科學.2009.