[程序行为记录与跟踪.doc

程序行为记录与跟踪 在安全网上逛的时候，突然发现一篇很好的文章！详细阐述了当前流行的api hook技术，rootkit技术和主动防御技术，涉及到深入的操作系统知识，需要一定的功底才能看懂，真的很不错，可以说是一篇难得的教程！现摘选如下： 一. 黑匣子的原理  对于一般用户而言，一个程序从开始运行直到结束，这期间内都做过什么，并不是我们需要关心的事情，他们只要听到播放器里的音乐、看到电影画面、和远方的朋友用通讯工具聊天就可以了，有谁会去关心从用户点击播放器程序图标到音乐响起的时间里，这个程序具体做了什么事情呢？然而，如果面对的程序是恶意软件之流，用户就不得不关心一下它到底对自己的计算机造成什么影响了。 程序在运行期间所进行的操作被称为“程序行为”（Action），一般泛指程序进行的相对表现较明显的操作，例如创建读写文件、访问注册表、连接网络等，而在这些操作之外做的程序内部运算、判断、逻辑等操作并不是我们需要关心的，除非是对它进行复杂的分析如逆向工程。对程序行为进行监视记录的过程就是“跟踪”（Tracing），如果要进一步深入，则要使用调试器（Debugger）环境进行汇编级的指令分析，这就是“调试”（Debugging），也可视为更全面的跟踪，因为调试过程可观察到整个程序里的运算和每一步过程。 也许很多用户会觉得，这些复杂技术距离我们很远，甚至会想像为需要复杂设备和程序才能完成，其实，这些技术的应用范围，一直就在我们身边。如果你正在使用一款防毒产品，那么你系统里执行的程序就已经处于被记录行为的状态了；如果你使用HIPS产品，就会更强烈的感受到程序运行被监视着；如果你正在使用调试器，那就不用我说了吧…… 在Windows系统里，至少有三种技术可以实现程序行为的记录，甚至控制程序的某些行为，分别是“虚拟机”（VM）、“API钩子”（API Hooking）和“API跟踪”（API Tracing）。应用广泛的虚拟机技术 经常提到的虚拟机技术有两种，一种是普遍应用上的虚拟机技术，它是通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统，此类虚拟机的概念比较广泛，可以是一种使用软件模拟一个完整的计算机硬件环境技术如VMWare，也可以是介于硬件和编译程序之间的交互介质，如Java虚拟机等；另一种则是反病毒产品中使用的“通用解密器”技术，为了检测一些复杂或者代码加密的病毒，杀毒引擎必须让它运行起来以便自我暴露危险程序行为，但是如果病毒真的在用户计算机里运行了，就违背反病毒产品的初衷了，因此反病毒产品也采取了一种虚拟环境检测方法，这就是虚拟机技术，但是这个技术并非是为病毒提供一套计算机仿真系统，这样就太庞大复杂和消耗资源了，这种虚拟机是指杀毒引擎模拟出一个仿真CPU，这个“CPU”具备和真正CPU等同的指令分析功能，杀毒引擎将待检测的程序代码读入“CPU”中逐条指令循环执行，直到出现特定情况才结束工作，在这个过程中探知程序是否具备病毒行为特征或者暴露出病毒特征码。这就是杀毒引擎的“虚拟机技术”，它的目的就是让程序文件在没有实际运行的情况下得到运行后的结果。 无论是哪种虚拟机技术，它们都能记录和解释程序的每一步执行过程，否则将无法正常运行程序，这也就说明，程序行为是可以被记录的，只是一般不会提供用户查看的接口。在恶意软件检测工作上，虚拟机技术可以帮助安全人员在不会真正让自己感染病毒的环境下放心的运行恶意程序，从而通过其他手段记录程序行为，普通用户也可通过虚拟机技术来保护自己的系统免受各种恶意软件的攻击，在虚拟环境中执行的程序，所做的一切改动都不会影响到真实的系统，所以用户要理清这个概念，避免不必要的损失，例如现在流行的影子系统（Shadow），它是通过在应用层上虚拟出一个目前的系统环境，所有的操作都没有写入真正的磁盘文件上，从而保证用户在上网时无论遭遇什么后门病毒，重启后都不会存在，最终实现了绝对安全的系统环境。然而，如果用户对它的机制不够了解，单纯认为它只是用来防范病毒，那就大错特错了，如果一个职员为了系统安全而使用全保护模式的影子系统，然后她又把公司的工作任务直接在电脑上完成并保存，那么重启后，她将会发现这一天的努力全化作了泡影！其实非蠕虫性质的网络入侵突破点通常只有几个，如浏览器、即时通讯程序、邮件等，那么我们只要单纯把这几个程序放入虚拟环境中，就不需要把整个系统都变成影子来防范了，这个技术被称为“沙箱”（Sandbox），与影子系统相似，它也是一种虚拟机环境，但是它仅仅为用户指定的程序提供虚拟作用，而不是整个系统，这样一来，有虚拟机需求的用户就不用担心自己辛苦撰