陳共龍

摘 要：隨著全球信息化的不斷推進(jìn)，整個(gè)世界越來(lái)越被連成一個(gè)整體，威脅計(jì)算機(jī)系統(tǒng)安全的領(lǐng)域也越來(lái)越廣泛，其中以惡意代碼最為嚴(yán)重。而隨著計(jì)算機(jī)系統(tǒng)安全攻擊與防御技術(shù)的不斷較量，惡意代碼的攻擊手法、攻擊形式也越來(lái)越趨于隱秘化、復(fù)雜化。因此，有必要對(duì)當(dāng)下的惡意代碼分析技術(shù)進(jìn)行總結(jié)，從中發(fā)現(xiàn)新的發(fā)展方向，以應(yīng)對(duì)不斷變化的惡意代碼形勢(shì)。

關(guān)鍵詞：惡意代碼；靜態(tài)分析；動(dòng)態(tài)分析

Abstract：With the advancement of global informationization， the whole world is increasingly tending together as a whole， the realm of threat to the computer system security is becoming more and more widely， of which the malicious code is the most influential. And with the constantly battle between the computer system security attack and defense technologies， the attacks technique and the form of attack of malicious code are more and more tend to be secret， complicated. Therefore， it is necessary to summarize the current malicious code analysis technology to find a new development direction， in response to the changing situation of malicious code.

Key words：malicious code；static analysis；dynamic analysis

隨著全球信息化進(jìn)程的不斷推進(jìn)，網(wǎng)絡(luò)開(kāi)放性的不斷增強(qiáng)，網(wǎng)絡(luò)應(yīng)用系統(tǒng)涉及領(lǐng)域的擴(kuò)展，計(jì)算機(jī)所面臨的威脅也越來(lái)越廣泛了，其中惡意代碼對(duì)計(jì)算機(jī)安全的威脅是最為嚴(yán)重的[1]。惡意代碼是一類在不被察覺(jué)的情況下嵌入代碼到另一段程序中，以達(dá)到破壞計(jì)算機(jī)系統(tǒng)數(shù)據(jù)、破壞數(shù)據(jù)的安全性和完整性、影響用戶心理的程序。惡意代碼的分類主要有計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲(chóng)、特洛伊木馬、后門(mén)等。目前惡意代碼的技術(shù)手段日益豐富，如多態(tài)、代碼混淆等，但與此同時(shí)，與惡意代碼之矛對(duì)立的惡意代碼分析之盾也有了巨大的進(jìn)步。

本文分析研究了當(dāng)前主流的惡意代碼分析技術(shù)及其進(jìn)展，首先對(duì)惡意代碼分析技術(shù)進(jìn)行了概述，接著從靜態(tài)分析和動(dòng)態(tài)分析的角度，對(duì)不同的分析技術(shù)進(jìn)行了研究和比對(duì)，最后對(duì)本文進(jìn)行了總結(jié)。

1 惡意代碼分析技術(shù)概述

惡意代碼分析器借助某種惡意代碼分析方法，判斷程序是否有惡意行為。

現(xiàn)假定D=為程序X的元素矢量，每個(gè)元素矢量d1…dn為該程序某一方面的特征，如特征代碼、特征結(jié)構(gòu)、特征行為等。函數(shù)M為惡意代碼分析器，定義域?yàn)槌绦虻脑厥噶緿和惡意代碼分析算法A。則有分析結(jié)果R=M（D，A），其中R屬于{Y，N}。

分析器M分析程序X，得出分析結(jié)果。若R=Y，則該程序?yàn)閻阂獬绦?；反之，該程序?yàn)榉菒阂獬绦颉ｋm然COHEN[2]已經(jīng)證明了任意一個(gè)程序是否包含惡意行為是不可判定的，但是我們?nèi)匀荒軌蚋鶕?jù)惡意代碼在傳播過(guò)程中的特性，來(lái)判定程序是否為惡意程序。

惡意代碼分析技術(shù)的分類方法有兩種。一種是按照分析目標(biāo)的差別分類：基于主機(jī)和基于網(wǎng)絡(luò)。基于主機(jī)分析的方式包括基于特征碼簽名、基于校檢和、啟發(fā)式數(shù)據(jù)挖掘方法；基于網(wǎng)絡(luò)分析的方式有基于Deep packet Inspection和基于HoneyPot方式[3]。另一種是按照分析時(shí)是否執(zhí)行代碼分類：靜態(tài)分析和動(dòng)態(tài)分析。靜態(tài)分析方法是指在不執(zhí)行二進(jìn)制程序情況下進(jìn)行分析的方法，如二進(jìn)制統(tǒng)計(jì)分析、反編譯、反匯編等；動(dòng)態(tài)分析方法是指在目標(biāo)程序執(zhí)行的情況下，通過(guò)分析調(diào)用的函數(shù)等確定目標(biāo)程序執(zhí)行的過(guò)程，匹配特征函數(shù)序列庫(kù)，從而判定目標(biāo)程序是否為惡意代碼。

本文主要依據(jù)后者對(duì)惡意代碼分析技術(shù)進(jìn)行分類。

2 靜態(tài)分析技術(shù)

2.1 特征碼掃描技術(shù)

特征碼掃描技術(shù)是惡意代碼掃描技術(shù)的一種，它是傳統(tǒng)殺毒軟件的主要利器。特征碼掃描技術(shù)主要依賴的數(shù)據(jù)集是特征碼數(shù)據(jù)庫(kù)，該數(shù)據(jù)集是通過(guò)函數(shù)運(yùn)算或者從程序直接提取的唯一標(biāo)志。特征碼的線性結(jié)構(gòu)可以表示成：Sig（I）=。由于傳統(tǒng)的特征碼掃描技術(shù)使用的是固定的檢測(cè)邏輯，很難適應(yīng)新的檢測(cè)活動(dòng)要求，同時(shí)也很難分解成可以并行的操作，影響了檢測(cè)的效率。因此，考慮向傳統(tǒng)模型中加入一個(gè)觸發(fā)邏輯，增強(qiáng)檢測(cè)邏輯的語(yǔ)義，并對(duì)檢測(cè)操作進(jìn)行嚴(yán)格的分解，以提高檢測(cè)的效率[4]。還可以通過(guò)快速的字符串掃描模式匹配算法提高特征碼掃描的效率[5]。

目前的基于傳統(tǒng)特征碼掃描改進(jìn)的技術(shù)，在提高檢測(cè)變種、未知惡意代碼方面也有了不錯(cuò)的提高。假定特征向量F=<相似代碼特征S，行為特征M，系統(tǒng)函數(shù)集合A>，則在原來(lái)簡(jiǎn)單的特征碼基礎(chǔ)上，使用這三個(gè)特征來(lái)表征一類惡意代碼的特征，以達(dá)到縮小特征庫(kù)規(guī)模，快速檢測(cè)惡意代碼，特別是變種代碼的目的[1]。除了同一類型的惡意代碼具有實(shí)現(xiàn)模式的相似性以外，不同類型的惡意代碼也具有作為其編程實(shí)現(xiàn)的重要屬性，即字符空間關(guān)系的獨(dú)特特征。利用這個(gè)特征，能夠?yàn)槲粗獝阂獯a的自動(dòng)分析提供很好的基礎(chǔ)[6]。

2.2 啟發(fā)式掃描技術(shù)

啟發(fā)式指的是“運(yùn)用某種方式或方法去判定事物的知識(shí)和技能”或“自我發(fā)現(xiàn)的能力”。啟發(fā)式掃描技術(shù)是基于定義的掃描技術(shù)和給定的判定規(guī)則，檢測(cè)程序中是否存在可疑功能，并判定惡意代碼的掃描方法[7-8]。

啟發(fā)式掃描技術(shù)在某種意義上是基于專家系統(tǒng)產(chǎn)生的，由于正常程序和惡意程序在執(zhí)行上的不同，熟練的匯編級(jí)程序員能夠迅速的發(fā)現(xiàn)這類非正常的程序。常見(jiàn)的異常表現(xiàn)有使用非常規(guī)指令、存在花指令、解密循環(huán)代碼、調(diào)用未導(dǎo)出的API等[9]。其衍生思路可以用于惡意軟件的取證分析，以軟件為實(shí)現(xiàn)反取證目的使用的技術(shù)程度來(lái)作為判定惡意軟件的指標(biāo)，即反取證的行為越多，越可能是惡意軟件。這個(gè)方法被Murray[10]靈活的運(yùn)用于分析惡意軟件的反取證行為。

2.3 文件完整性分析技術(shù)

基于文件完整性的分析技術(shù)是指，通過(guò)使用某種單向散列算法，如MD5、SHA1、CRC32、Xerox等，計(jì)算系統(tǒng)動(dòng)態(tài)鏈接庫(kù)函數(shù)的哈希值，與在干凈的系統(tǒng)環(huán)境下計(jì)算的哈希值進(jìn)行比對(duì)。如果有變化，則可以判斷該文件很可能被惡意代碼修改了，該系統(tǒng)很可能已經(jīng)不再安全。

這個(gè)思想早在1999年Cohen的一篇論文中就已經(jīng)提出過(guò)，當(dāng)時(shí)展現(xiàn)出來(lái)的優(yōu)勢(shì)是，以散列值的變化作為判斷惡意代碼感染的依據(jù)，容易實(shí)現(xiàn)且保護(hù)能力較強(qiáng)。但其問(wèn)題也十分明顯。某些正常程序會(huì)在更新的時(shí)候?qū)ψ约哼M(jìn)行修改，根據(jù)這種方式進(jìn)行的檢測(cè)必定會(huì)產(chǎn)生不小的誤判問(wèn)題[9]。

在之后的完整性分析技術(shù)研究中，都對(duì)Cohen的思想進(jìn)行了較好的改進(jìn)。如果對(duì)系統(tǒng)中所有文件都進(jìn)行哈希值檢測(cè)，必定會(huì)對(duì)系統(tǒng)造成巨大的開(kāi)銷，用戶友好性和用戶體驗(yàn)度必將極大的降低。為了解決這個(gè)問(wèn)題，新的研究中只分析系統(tǒng)中關(guān)鍵部分的動(dòng)態(tài)鏈接庫(kù)文件，這些庫(kù)文件在系統(tǒng)中往往是不會(huì)改變的。當(dāng)惡意代碼制造者試圖修改系統(tǒng)庫(kù)函數(shù)時(shí)，用戶通過(guò)計(jì)算其哈希值并進(jìn)行校驗(yàn)，就能立刻檢測(cè)出惡意代碼，同時(shí)也在一定程度上降低了修改自身函數(shù)的正常程序的誤判[2]。

系統(tǒng)庫(kù)函數(shù)的簽名（即單向散列哈希值）是保存在系統(tǒng)的數(shù)據(jù)庫(kù)中，數(shù)據(jù)庫(kù)如果不加強(qiáng)保密工作，也會(huì)成為黑客入侵的重點(diǎn)。一種簡(jiǎn)單的保護(hù)簽名的方法，是將簽名存儲(chǔ)在只讀介質(zhì)的數(shù)據(jù)庫(kù)中。但這種方法對(duì)于用戶來(lái)說(shuō)，是十分不方便管理與維護(hù)的。另一種比較容易想到的方法是對(duì)數(shù)據(jù)庫(kù)進(jìn)行加密，但是每次取出、放回簽名的解密、加密過(guò)程又會(huì)增加系統(tǒng)開(kāi)銷[11]。

可見(jiàn)，基于文件完整性的分析技術(shù)的優(yōu)勢(shì)和缺陷是十分明顯的。因此，在使用基于文件完整性的分析技術(shù)時(shí)，應(yīng)當(dāng)根據(jù)使用的對(duì)象以及環(huán)境需求來(lái)選擇分析技術(shù)。

3 動(dòng)態(tài)分析技術(shù)

3.1 代碼仿真分析技術(shù)

在惡意代碼運(yùn)行時(shí)追蹤惡意代碼的行為，能夠高效的捕捉到異常行為。這種方法允許在真實(shí)環(huán)境中運(yùn)行，但是一旦惡意代碼失控，將會(huì)感染真實(shí)主機(jī)，造成不必要的損失。因此，使用代碼仿真分析技術(shù)模擬真實(shí)環(huán)境，將是一個(gè)非常好的選擇。

目前，已經(jīng)出現(xiàn)了一些惡意代碼仿真分析工具。開(kāi)源虛擬機(jī)bochs是一個(gè)全系統(tǒng)仿真的虛擬機(jī)，模擬Intel X86架構(gòu)的CPU以及計(jì)算機(jī)的其他設(shè)備，其良好的代碼設(shè)計(jì)十分適合進(jìn)行二次開(kāi)發(fā)，如增加指令記錄功能等，并能在一定程度上抵抗反調(diào)試技術(shù)[12]。Sandboxie[13]允許系統(tǒng)在“沙盤(pán)環(huán)境”中運(yùn)行瀏覽器或者其他的程序，它是基于系統(tǒng)局部進(jìn)行的保護(hù)，僅僅是幾個(gè)危險(xiǎn)的程序在沙盤(pán)中運(yùn)行，其他一切規(guī)則都正常運(yùn)行。BSA是基于Sandboxie的惡意代碼分析工具，它能夠捕獲Sandboxie中的注冊(cè)表修改、文件修改、API調(diào)用、訪問(wèn)網(wǎng)絡(luò)的行為，并能自動(dòng)的進(jìn)行惡意代碼分析。

3.2 行為監(jiān)控分析技術(shù)

行為監(jiān)控分析技術(shù)是通過(guò)監(jiān)控、記錄目標(biāo)程序的各種類型的行為，根據(jù)其對(duì)系統(tǒng)產(chǎn)生的負(fù)面影響的程度來(lái)判定其是否為惡意代碼。

行為監(jiān)控分析技術(shù)按照分析的行為類型可以分為網(wǎng)絡(luò)行為分析和主機(jī)行為分析。

網(wǎng)絡(luò)行為分析是通過(guò)分析目標(biāo)程序在網(wǎng)絡(luò)中的通信行為來(lái)判定其惡意性的。傳統(tǒng)的網(wǎng)絡(luò)通信行為分析的方法是深度包檢測(cè)技術(shù)，即從網(wǎng)絡(luò)層和傳輸層兩個(gè)層面分析惡意代碼行為，并提取能夠有效描述惡意代碼行為的四個(gè)特征，用正則表達(dá)式匹配攻擊模式檢測(cè)木馬程序，從而識(shí)別出惡意代碼，但是當(dāng)網(wǎng)絡(luò)流量數(shù)據(jù)巨大的時(shí)候，無(wú)法及時(shí)分析出結(jié)果[14-15]。因此，一種新的分析系統(tǒng)應(yīng)運(yùn)而生，該系統(tǒng)使分析系統(tǒng)的前端主機(jī)能夠在不重組數(shù)據(jù)包的情況下，就分析出數(shù)據(jù)包是否為惡意代碼，從而提高了分析效率[16]。

主機(jī)行為分析是依據(jù)惡意程序的惡意行為，如API調(diào)用序列、參數(shù)的依賴輪廓等，來(lái)對(duì)目標(biāo)程序進(jìn)行判斷[17]。運(yùn)用的比較好的模型，是通過(guò)組合對(duì)應(yīng)權(quán)限下用戶可能的操作構(gòu)建的攻擊樹(shù)模型，在基礎(chǔ)的攻擊樹(shù)模型上增加危害權(quán)值、攻擊樹(shù)文本圖等元素，并結(jié)合代碼仿真技術(shù)中的虛擬機(jī)運(yùn)行技術(shù)，解決了傳統(tǒng)攻擊樹(shù)模型行為差異性描述不準(zhǔn)確、危害量化不合理等問(wèn)題，從而提供更為高效的惡意代碼分析結(jié)果[18-20]。

3.3 可執(zhí)行路徑分析技術(shù)

基于可行路徑的分析技術(shù)有兩種應(yīng)用思路：一種是結(jié)合靜態(tài)分析中的完整性校驗(yàn)技術(shù)，對(duì)內(nèi)核級(jí)惡意代碼在內(nèi)存中的執(zhí)行路徑進(jìn)行完整性校驗(yàn)；另一種是為了對(duì)惡意代碼進(jìn)行更為完整的功能分析，遍歷惡意代碼所有可能的執(zhí)行路徑。

內(nèi)核級(jí)惡意代碼實(shí)現(xiàn)靜默修改系統(tǒng)的執(zhí)行路徑，一般是通過(guò)修改系統(tǒng)庫(kù)函數(shù)的返回值、修改系統(tǒng)庫(kù)函數(shù)表的轉(zhuǎn)向等手法來(lái)實(shí)現(xiàn)。一旦內(nèi)核級(jí)惡意代碼拿到了系統(tǒng)內(nèi)核的控制權(quán)，那么對(duì)于應(yīng)用層上的任何用戶軟件，包括應(yīng)用層的殺毒軟件都將會(huì)造成巨大的威脅。此時(shí)的殺毒軟件將形同虛設(shè)，被內(nèi)核級(jí)惡意代碼玩弄于鼓掌之中，系統(tǒng)將永遠(yuǎn)不會(huì)返回一個(gè)真實(shí)的值，此時(shí)的系統(tǒng)也已然成為了惡意代碼的傀儡。通過(guò)分析發(fā)現(xiàn)，惡意代碼不管使用何種隱藏手法，其最終必將運(yùn)行于內(nèi)存中。其中，系統(tǒng)庫(kù)函數(shù)在內(nèi)存中執(zhí)行的指令順序、指令數(shù)都是固定的，通過(guò)計(jì)算正常的系統(tǒng)庫(kù)函數(shù)內(nèi)存指令的哈希值，并與被測(cè)系統(tǒng)庫(kù)函數(shù)內(nèi)存指令哈希值進(jìn)行比對(duì)，一旦發(fā)現(xiàn)兩者不同，就可以立即判定系統(tǒng)被惡意代碼修改了，應(yīng)當(dāng)及時(shí)采取措施[11]。

為了更為完善的分析惡意代碼的功能，經(jīng)常會(huì)借助多路徑分析的方法。其基本思想是，通過(guò)修改變量或者系統(tǒng)環(huán)境，以實(shí)現(xiàn)代碼不同的執(zhí)行路徑。現(xiàn)有的基于代碼覆蓋的多路徑分析方法中，通過(guò)標(biāo)記已經(jīng)執(zhí)行過(guò)的路徑以減少重復(fù)遍歷，提高了分析的執(zhí)行效率；對(duì)于傳統(tǒng)多路徑分析無(wú)法比較好的解決循環(huán)的問(wèn)題，現(xiàn)有的分析方法中對(duì)循環(huán)的語(yǔ)句結(jié)構(gòu)設(shè)定了一個(gè)時(shí)間界限，防止了循環(huán)語(yǔ)句在某些情況下陷入死循環(huán)的問(wèn)題[21]。

4 總結(jié)

從本文的分析比較中，可以發(fā)現(xiàn)，惡意代碼的分析技術(shù)有基于特征碼的、基于啟發(fā)式的、基于代碼仿真的和基于行為監(jiān)控的。除了本文描述的幾種方法外，還有動(dòng)靜態(tài)分析相結(jié)合的雙重惡意代碼檢測(cè)技術(shù)、程序語(yǔ)義的邏輯分析技術(shù)、基于社會(huì)計(jì)算的分析技術(shù)等。相信在惡意代碼分析這個(gè)活躍的領(lǐng)域中，將會(huì)源源不斷的有新的技術(shù)被挖掘與應(yīng)用進(jìn)來(lái)。

[參考文獻(xiàn)]

[1]陳娟英，范明鈺，王光衛(wèi).一種基于親緣性的惡意代碼分析方法[J].信息安全技術(shù)，2014（1）.

[2]COHEN，F(xiàn)：Computational aspects of computer viruses[J].Computer&Security.Volume 8，Issue 4，June 1989，pp.297-298.

[3]秦軍m張海鵬m蘇志和m林巧明.一種基于二維行為特征的惡意代碼識(shí)別方法[J].計(jì)算機(jī)技術(shù)與發(fā)展，2013（6）.

[4]王海峰.基于智能特征碼的反病毒引擎設(shè)計(jì)[J].計(jì)算機(jī)工程，2010（3）.

[5]單長(zhǎng)虹.殺毒軟件編程精華[J].黑客防線，2004（03S）.

[6]李鵬m王汝傳m武寧.基于空間關(guān)系特征的未知惡意代碼自動(dòng)檢測(cè)技術(shù)研究[J].計(jì)算機(jī)研究與發(fā)展，2012（5）.

[7]Symantec：Understanding heuristics：Symantecs Bloodhound technology[Z].Symantec White Paper Series，Volume XXXIV，1997.

[8]曾憲偉，張智軍，張志.基于虛擬機(jī)的啟發(fā)式掃描反病毒技術(shù)[J].計(jì)算機(jī)應(yīng)用與軟件，2005（9）.

[9]奚琪，王清賢，曾勇軍.惡意代碼檢測(cè)技術(shù)綜述[C].計(jì)算機(jī)研究新進(jìn)展——河南省計(jì)算機(jī)學(xué)會(huì)2010年學(xué)術(shù)年會(huì)論文集，2010.

[10]Murray Brand.Malware Forensics：Discovery of the Intent of Deception[J].Journal of Digital Forensics，Security&Law；2010，Vol.5 Issue 4，pp.31.

[11]齊琪.基于內(nèi)存完整性的木馬檢測(cè)技術(shù)[D].華中科技大學(xué)，2006.

[12]鄧超國(guó)，谷大武，李卷孺，孫明.一種基于全系統(tǒng)仿真和指令流分析的二進(jìn)制代碼分析方法[J].計(jì)算機(jī)應(yīng)用研究，2011（4）.

[13]http：//www.sandboxie.com/，http：//bsa.isoftware.nl/，last visited at 2014-3-9.

[14]蔡洪民，伍乃騏，滕少華.分布式木馬檢測(cè)系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用與軟件，2012（5）.

[15]李世淙，云曉春，張永錚.一種基于分層聚類方法的木馬通信行為檢測(cè)模型[J].計(jì)算機(jī)研究與發(fā)展，2012（2）.

[16]舒胤明，范明鈺，王光衛(wèi).一種新的惡意代碼檢測(cè)方法[J].計(jì)算機(jī)安全，2013（9）.

[17]苗啟廣，王蘊(yùn)，曹瑩，劉文闖.面向最小行為的惡意程序檢測(cè)研究[J].系統(tǒng)工程與電子技術(shù)，2012（4）.

[18]謝樂(lè)川，袁平.改進(jìn)攻擊樹(shù)的惡意代碼檢測(cè)方法[J].計(jì)算機(jī)工程與設(shè)計(jì)，2013（5）.

[19]溫志淵，翟健宏，徐徑山，歐陽(yáng)建國(guó).基于攻擊行為樹(shù)的惡意代碼檢測(cè)平臺(tái)[J].信息網(wǎng)絡(luò)安全，2013（9）.

[20]姜政偉，王曉箴，劉寶旭.基于最小攻擊樹(shù)的UEFI惡意行為檢測(cè)模型[J].計(jì)算機(jī)工程與應(yīng)用，2012（32）.

[21]王祥根，司端鋒，馮登國(guó)，蘇璞睿.基于代碼覆蓋的惡意代碼多路徑分析方法[J].電子學(xué)報(bào).2009（4）.