馮常青 張巖

摘 要 隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，信息安全面臨著諸多的安全威脅，越來越多的攻擊者在程序中插入惡意行為。安全研究人員基于特征碼的靜態(tài)分析，通過特征庫高效快速地對惡意行為進行匹配。但隨著攻擊技術(shù)的進步，更多的設(shè)計者選擇將惡意行為隱藏在程序代碼中，對其進行加密和變形，以此來抵御靜態(tài)分析。所以如何進行惡意軟件行為的捕獲，準(zhǔn)確判定出惡意軟件，成為信息安全領(lǐng)域亟待解決的問題。

關(guān)鍵詞 惡意軟件 行為研究 檢測防范

中圖分類號：TP393文獻標(biāo)識碼：A

1背景

惡意軟件是指在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計算機或其他終端上安裝運行損害系統(tǒng)和偷取用戶隱私信息的軟件。這類如病毒、蠕蟲、木馬、后門的惡意軟件已經(jīng)成為計算機和網(wǎng)絡(luò)最大的威脅之一①。惡意軟件的開發(fā)者編寫如間諜軟件、廣告軟件等狹義角度意義上的惡意軟件，在網(wǎng)絡(luò)上傳播和蔓延，使得接入互聯(lián)網(wǎng)的任何系統(tǒng)都處于將被攻擊的風(fēng)險中。

面對惡意行為帶來的信息安全問題，安全產(chǎn)品的分析人員開發(fā)出自動化分析程序工具用以抽取和分析惡意軟件的行為。然而，惡意程序有時能檢測出模擬或虛擬的分析環(huán)境，為了逃避分析工具的檢測，它會減少攻擊行為或立即結(jié)束進程。這種惡意代碼與安全軟件之間的對抗日益加劇。所以，對網(wǎng)絡(luò)程序的惡意行為進行檢測和研究成為了信息安全方面迫切需要解決的問題。

2惡意軟件的行為研究

2.1注冊表操作

一般來說每類文件都會有各自默認的打開方式和程序，且打開方式都會注冊在注冊表里。大部分惡意軟件會在特定的位置采用更改文件關(guān)聯(lián)程序的方式達到打開文件的同時而自動運行的目的。

2.2文件操作

有些惡意軟件不需要修改注冊表，利用修改win.ini和system.ini這類系統(tǒng)文件來啟動自身程序。這類惡意軟件一般采用更改系統(tǒng)設(shè)置，如禁用任務(wù)管理器;禁用隱藏文件或系統(tǒng)的顯示開關(guān);禁用注冊表、禁用文件夾選項等，用來降低計算機發(fā)現(xiàn)的難度。為達到開機自啟動的目的，有的惡意軟件則將自己添加到系統(tǒng)根目錄下的AUTOEXEC.BAT和windows目錄下的WinStart.bat文件中，有的惡意軟件是通過將自己添加到開始菜單的“啟動”文件選項中;有的惡意軟件將系統(tǒng)的必須和重要文件替換成自身程序代碼，因此系統(tǒng)運行時就會啟動被替換的程序和這類惡意軟件，一般用戶很難發(fā)現(xiàn)。

2.3部署調(diào)用工具

惡意軟件調(diào)用，部署工具的行為主要分為部署于系統(tǒng)文件的相似文件與更改自身文件名和刪除自身這兩種方式。大多數(shù)惡意軟件在下載成功后為獲取用戶活動和完成向外傳輸信息任務(wù)，通常會在windows或system目錄下生成若干個可執(zhí)行惡意軟件的文件工具，如Explore.exe等。有的惡意軟件如果運行成功，就將隨機更改文件名或自我刪除，使用戶很難發(fā)現(xiàn)。

2.4連接指定站點

基本所有的惡意軟件都要通過訪問網(wǎng)絡(luò)來達到感染計算機的目的，通常先向外發(fā)出連接請求，再利用郵件的形式把用戶信息傳送出去。有的惡意軟件則是利用連接定向的站點和服務(wù)器，下載大量的間諜軟件和盜號木馬，甚至利用惡意軟件下載器把惡意程序代碼下載到用戶的計算機系統(tǒng)上，然后進行加載并完成感染。有的惡意軟件則是利用用戶計算機系統(tǒng)上的ARP惡意攻擊程序代碼對其所在的網(wǎng)絡(luò)進行ARP欺騙攻擊，最后嚴(yán)重影響到網(wǎng)絡(luò)安全。

2.5隱藏活動界面

惡意軟件在活動時，一般都會將自身的運行程序和窗口隱匿起來，在工具欄和任務(wù)欄上用戶都無法找到惡意軟件的行蹤，達到不被用戶發(fā)現(xiàn)的目的，有利于惡意程序在操作系統(tǒng)中長期運行和駐留。

2.6操作其它進程

有的惡意程序為達到開機自動啟動的目的，將自身注冊為系統(tǒng)服務(wù)。有的惡意軟件則采用通過偽裝的方法來達到隱藏自己的目的，令用戶很難察覺，主要包括真隱藏和偽隱藏兩種不同的類型。有的惡意軟件在運行的過程中會關(guān)閉一些如殺毒軟件和防火墻的正常進程，或啟動其他惡意程序進程，實施強度更大的破壞活動。

2.7瀏覽器劫持

有的惡意軟件在未得到管理員許可的情況下，通過自行篡改用戶瀏覽器的相關(guān)設(shè)置，致使用戶無法正常上網(wǎng)或強迫用戶訪問站點。瀏覽器劫持行為主要包括不能正常上網(wǎng)，對用戶所訪問網(wǎng)站的類型內(nèi)容擅自進行刪除、添加、修改與迫使用戶訪問指定網(wǎng)站或限制用戶修改瀏覽器設(shè)置三種不同類型的行為現(xiàn)象。

2.8惡意收集用戶信息

有些惡意軟件在未經(jīng)用戶許可的情況或未明確提示用戶下（用戶無法查看自己的信息是否被收集，未提示用戶是否允許收集信息的選項），惡意收集用戶的信息。

從軟件惡意行為及其發(fā)展來看，惡意軟件主要存在傳播多樣化、多平臺;基于系統(tǒng)缺陷的攻擊時間縮短;存活能力增強;基于系統(tǒng)缺陷的攻擊時間縮短;破壞性和易用性更大等發(fā)展趨勢。

3惡意軟件檢測工具的設(shè)計

3.1系統(tǒng)目標(biāo)

（1）建立一個虛擬運行系統(tǒng)：在用戶計算機中要建立一個虛擬運行系統(tǒng)，該運行系統(tǒng)要求對用戶正常的使用不造成任何影響，且在每次分析未知程序后要迅速恢復(fù)到純凈狀態(tài)，防止幾次結(jié)果相互影響，出現(xiàn)誤報、漏報的情況。

（2）建立惡意行為特征庫：通過對所有已知惡意程序的惡意行為進行分析，建立惡意行為特征庫，供檢測工具使用，連接互聯(lián)網(wǎng)，及時更新變種惡意程序的行為特征，提高系統(tǒng)對已知和未知惡意行為的識別能力。

（3）對程序進行動態(tài)分析：對于百分之百可以確定的惡意程序，做隔離或刪除、提醒用戶處理，對于不能確定的未知程序，在上述虛擬運行系統(tǒng)中試運行，在一段時間內(nèi)觀察其行為特征，最終判定出是否為惡意程序。

3.2模塊設(shè)計

惡意行為檢測系統(tǒng)分為6個部件：檢測系統(tǒng)部件、惡意行為特征庫部件、檢測機制部件、虛擬運行部件和分析部件、監(jiān)測點部件、反饋機制部件。各個部件之間的關(guān)系如下圖所示：

（1）檢測系統(tǒng)：首先需要建立一個與用戶操作系統(tǒng)相似的虛擬運行系統(tǒng)，這個系統(tǒng)給未知程序提供一個運行環(huán)境，獨立存在于用戶計算機中，對用戶不造成任何影響，且在運行程序后要迅速恢復(fù)到初始的純凈狀態(tài)，避免幾次運行結(jié)果相互影響。注意，該系統(tǒng)要避免被惡意程序識別為檢測機制。

（2）惡意行為特征庫：在該檢測系統(tǒng)中，最重要的模塊是惡意行為特征庫，在該特征庫中要包含現(xiàn)有所有已知惡意程序的信息、運行機制、惡意行為特征，并且需要連接互聯(lián)網(wǎng)實時更新，確保檢測工具在第一時間發(fā)現(xiàn)惡意程序的變種代碼，提高該檢測系統(tǒng)的適用性。這一點在整個檢測工具中非常重要。

（3）檢測機制：在該運行系統(tǒng)中，要存放一個惡意程序的檢測機制，根據(jù)特征庫中描述的惡意行為，檢測機制要匹配特征以判斷程序是否為惡意程序，如果百分之百匹配成功時將此程序標(biāo)定為惡意程序，隔離處理。在辨識出程序可能存在惡意行為時，標(biāo)記該程序并隔離該程序，進行下一步檢測。

（4）虛擬運行部件和分析部件：在運行系統(tǒng)中，需要建立一個類似計算機中虛擬機的虛擬部件，在該部件中虛擬運行檢測機制標(biāo)定的可疑程序，捕獲該程序在虛擬運行檢測系統(tǒng)中的各項行為，分析該可疑程序是否對用戶信息進行惡意存取或者惡意篡改，進一步利用分析部件對程序代碼等進行檢測和分析，判定出該程序是否具有惡意性，并形成最終的結(jié)論。

（5）監(jiān)測點：在上述步驟中會出現(xiàn)兩種運行結(jié)論，一種為正常運行程序，一種為惡意程序，針對第一種正常程序，監(jiān)測點對其進行記錄標(biāo)記，并在一段時間內(nèi)檢測其的運行，出現(xiàn)惡意行為立即回收至新型檢測工具中重新檢測，如果在一段時間中沒有出現(xiàn)惡意行為，則可取消標(biāo)注結(jié)束對其的追蹤。對第二類已經(jīng)確認了的惡意程序，提醒用戶，對其進行隔離處理。

（6）反饋機制：當(dāng)發(fā)現(xiàn)新的惡意程序時應(yīng)及時反饋至惡意程序行為體征庫，為其他連接互聯(lián)網(wǎng)的檢測工具提供可靠的依據(jù)，減少此種新型檢測工具的工作量。

4結(jié)束語

在本文中，對各類惡意程序的行為進行了深入的研究，并對檢測工具進行了概要設(shè)計。伴隨著檢測技術(shù)的不斷改進，未來發(fā)展方向?qū)w現(xiàn)在以下幾個方面：

（1）惡意行為特征庫越來越龐大，可以隨時更新惡意軟件行為并及時反饋至用戶，可以使檢測工具更為容易的檢測出惡意軟件。

（2）在發(fā)現(xiàn)惡意軟件后計算機能迅速做出響應(yīng)，將惡意軟件自動隔離或刪除，避免對計算機用戶造成影響。

（3）結(jié)合各類檢測和修復(fù)技術(shù)，在對惡意行為進行識別的基礎(chǔ)上，對程序利用的程序漏洞進行研究并修復(fù)。

注釋

① SymantecInternetSecurityThreatReport[EB/OL].2012

參考文獻

[1] 冀風(fēng)宇.基于信息流的Android應(yīng)用污點分析技術(shù)的研究[D].成都：電子科技大學(xué)，2015.

[2] 周霞.信息安全現(xiàn)狀及發(fā)展趨勢[J].大眾科技，2006（07）：85-86.

[3] 惡意程序的發(fā)展趨勢[J].計算機安全，2009（03）：109-111.

[4] 王麗.基于虛擬化網(wǎng)絡(luò)服務(wù)的惡意軟件網(wǎng)絡(luò)行為分析[A].第四屆信息安全漏洞分析與風(fēng)險評估大會.

[5] 奚小溪，孫榮會.惡意軟件的行為與檢測技術(shù)分析[J].安徽建筑工業(yè)學(xué)院學(xué)報（自然科學(xué)版），2012（03）.

[6] 孟雪梅.計算機惡意軟件及防范對策探討[J].科技傳播，2013（23）.

[7] 卞松山，路軼，石曉虹.360移動互聯(lián)網(wǎng)惡意軟件分析平臺[J].信息安全與技術(shù)，2013（12）.