206恶意代码和安全漏洞.ppt

安全加固 标准化的安全配置 2002年，美国率先在军队推行标准化的安全配置与核查（IAVA） 根据漏洞分析和风险评估的安全加固 传统的安全加固手段越来越难以应付日益复杂的攻击行为，漏洞信息的及时披露和分发越来越重要。 加固核查与问责 通过安全审计核实漏洞消除情况和效果。 * 禁止跟踪中断。针对调试分析工具运行系统的单步中断和断点中断服务程序，恶意代码通过修改中断服务程序的入口地址实现其反跟踪目的。“1575”计算机病毒采用该方法将堆栈指针指向处于中断向量表中的INT 0至 INT 3区域，阻止调试工具对其代码进行跟踪。 封锁键盘输入和屏幕显示，破坏各种跟踪调试工具运行的必需环境； 检测跟踪法。检测跟踪调试时和正常执行时的运行环境、中断入口和时间的差异，根据这些差异采取一定的措施，实现其反跟踪目的。例如，通过操作系统的API 函数试图打开调试器的驱动程序句柄，检测调试器是否激活确定代码是否继续运行。 其它反跟踪技术。如指令流队列法和逆指令流法等。 * 对程序代码分块加密执行。为了防止程序代码通过反汇编进行静态分析，程序代码以分块的密文形式装入内存，在执行时由解密程序进行译码，某一段代码执行完毕后立即清除，保证任何时刻分析者不可能从内存中得到完整的执行代码； 伪指令法(Junk Code)。伪指令法系指在指令流中插入“废指令”，使静态反汇编无法得到全部正常的指令，不能有效地进行静态分析。例如，“Apparition”是一种基于编译器变形的Win32 平台的病毒，编译器每次编译出新的病毒体可执行代码时都要插入大量的伪指令，既达到了变形的效果，也实现了反跟踪的目的。此外，伪指令技术还广泛应用于宏病毒与脚本恶意代码之中。 * 大多数恶意代码对程序体自身加密，另有少数恶意代码对被感染的文件加密。例如，“Cascade”是第一例采用加密技术的DOS环境下的恶意代码，它有稳定的解密器，可以解密内存中加密的程序体。“Mad ”和“Zombie”是“Cascade”加密技术的延伸，使恶意代码加密技术走向32位的操作系统平台。此外，“中国炸弹”(Chinese bomb)和“幽灵病毒”也是这一类恶意代码。 * （1）指令替换技术。模糊变换引擎（Mutation Engine）对恶意代码的二进制代码进行反汇编，解码每一条指令，计算出指令长度，并对指令进行同义变换。例如，将指令XOR REG，REG 变换为SUB REG，REG；寄存器REG1和寄存器REG2进行互换；JMP指令和CALL指令进行变换等。例如，“Regswap”采用了简单的寄存器互换的变形技术。 （2）指令压缩技术。模糊变换器检测恶意代码反汇编后的全部指令，对可进行压缩的一段指令进行同义压缩。压缩技术要改变病毒体代码的长度，需要对病毒体内的跳转指令进行重定位。例如指令MOV REG/ ADD REG变换为指令MOV REG指令MOV REG/ PUSHREG变换为指令PUSH。 （3）指令扩展技术。扩展技术把每一条汇编指令进行同义扩展，所有压缩技术变换的指令都可以采用扩展技术实施逆变换。扩展技术变换的空间远比压缩技术大的多，有的指令可以有几十种甚至上百种的扩展变换。扩展技术同样要改变恶意代码的长度，需要对恶意代码中跳转指令进行重定位。 （4）伪指令技术。伪指令技术主要是对恶意代码程序体中插入无效指令，例如空指令；JMP 下一指令和指令PUSH REG/MOV REGPOP REG等。 （5）重编译技术。采用重编译技术的恶意代码中携带恶意代码的源码，需要自带编译器或者操作系统提供编译器进行重新编译，这种技术既实现了变形的目的，也为跨平台的恶意代码出现打下了基础。尤其是各类Unix/Linux操作系统，系统默认配置有标准C的编译器。宏病毒和脚本恶意代码是典型的采用这类技术变形的恶意代码。造成全球范围传播和破坏的第一例变形病毒是“Tequtla”，从该病毒的出现到编制出能够检测该病毒的软件，研究人员花费了9个月的时间。 * “计算机病毒生成器”，使对计算机病毒一无所知的用户，也能组合出算法不同、功能各异的计算机病毒。“多态性发生器”可将普通病毒编译成复杂多变的多态性病毒。 保加利亚的“Dark Avenger”是较为著名的一个例子，这个变换引擎每产生一个恶意代码，其程序体都会发生变化，反恶意代码软件如果采用基于特征的扫描技术，根本无法检测和清除这种恶意代码。 * （1）文件隐蔽。最简单的方法是定制文件名，使恶意代码的文件更名为系统的合法程序文件名，或者将恶意代码文件附加到合法程序文件中。（2）进程隐蔽。恶意代码通过附着或替换系统进程，使恶意代码