Transcript 恶意代码分析方法
恶意代码检测与防范技术 ——作战篇 田苏梅 S310060134 作战篇 1 恶意代码的分析 2 恶意代码的防御 3 恶意代码的清除方法 Your company slogan 作战篇 1 恶意代码的分析 2 恶意代码的防御 3 恶意代码的清除方法 Your company slogan 恶意代码分析方法 静态分析方法 • 是在不运行恶意代码的情况下,利用分析工 具对恶意代码的静态特征和功能模块进行分 析的方法 动态分析方法 • 是通过监视恶意代码运行过程从而了解恶意 代码功能。 Your company slogan 静态分析方法 1、基于代码特征的分析方法 • 分析过程中,不考虑恶意代码的指令意义, 而是分析指令的统计特性、代码的结构特性 等。 2、基于代码语义的分析方法 • 要求考虑构成恶意代码的指令的含义,通过 理解指令语义建立恶意代码的流程图和功能 框图,进一步分析恶意代码的功能结构。 Your company slogan 基于代码特征的分析方法 常用于对执行程序类型的恶意代码进行分析 c语言编写的程序中存在一条语句 CreateMuetex(NULL,NULL,“MYTEST”); 那么在生成的PE文件中会存在一个静态数据 “MYTEST”,通过分析PE结构可以从静态数 据节中提取静态数据。 用C语言编写的恶意代码中使用下面的语句 URLDownloadToFile(0,"http://www.micr osoft.com/a.exe","c:\\a.exe",0,0)从网站 下载可执行程序到C盘根目录,这个动作很有 可能是进行恶意代码升级 Your company slogan 基于代码语义的分析方法 基于代码语义的分析过程,首先使用反汇编工具 对恶意代码执行体进行反汇编,然后通过理解恶 意代码的反汇编程序了解恶意代码的功能。从理 论上讲通过这种方法可以得到恶意代码所有功能 特征。 但是,目前基于语义的恶意代码分析方法主要还 是依靠人工来完成,人工分析的过程需要花费分 析人员的大量时间,对分析人员本身的要求也很 高。 Your company slogan 动态分析方法 1、外部观察法 • 是利用系统监视工具观察恶意代码运行 过程时系统环境的变化,通过分析这些 变化判断恶意代码的功能。 2、跟踪调试法 • 是通过跟踪恶意代码执行过程使用的系 统函数和指令特征分析恶意代码功能的 技术。 Your company slogan 外部观察法 恶意代码作为一段程序在运行过程中通常会对系 统造成一定的影响,有些恶意代码为了保证自己 的自启动功能和进程隐藏的功能,通常会修改系 统注册表和系统文件,或者会修改系统配置。 通过网络进行传播、繁殖和拒绝服务攻击等破坏活动 通过网络进行诈骗等犯罪活动 通过网络将搜集到的机密信息传递给恶意代码的控制者 在本地开启一些端口、服务等后门等待恶意代码控制者 对受害主机的控制访问 Your company slogan 跟踪调试法 在实际分析过程中,跟踪调试可以有两种方法。 单步跟踪恶意代码执行过程,监视恶意代码的每一个执 行步骤,在分析过程中也可以在适当的时候执行恶意代 码的一个片断,这种分析方法可以全面监视恶意代码的 执行过程,但是分析过程相当耗时。 利用系统hook技术监视恶意代码执行过程中的系统调用 和API使用状态来分析恶意代码的功能,这种方法经常 用于恶意代码检测。 Your company slogan 恶意代码分析方法比较 分析内容 代码特征分 析法 隐藏功能 代码语义分 析法 外部观察法 跟踪调试法 能 能 能 能 触发功能 能 能 自启动功能 能 能 能 自主攻击和 繁殖功能 能 部分 能 破坏功能 能 部分 能 加密功能 能 对分人员的 依赖程度 低 较高 低 高 对分析环境 的破坏 否 否 大 可控 Your company slogan 恶意代码分析步骤 1 • 利用静态特征分析的方法分析恶意代码的加密 和压缩特性 2 • 通过动态调试法来评估恶意代码运行过程中对 系统文件、注册表和网络通讯状态的影响 3 • 通过静态语义分析,根据1和2的结果判断恶意 代码的功能模块构成…… 4 5 • 利用3的分析结果,再次进行跟踪调试 • 对恶意代码所有技术特征进行评估,并给出详 细的报告 Your company slogan 恶意代码分析步骤 1 • 利用静态特征分析的方法分析恶意代码的加密 和压缩特性 2 • 通过动态调试法来评估恶意代码运行过程中对 系统文件、注册表和网络通讯状态的影响 3 • 通过静态语义分析,根据1和2的结果判断恶意 代码的功能模块构成…… 4 5 • 利用3的分析结果,再次进行跟踪调试 • 对恶意代码所有技术特征进行评估,并给出详 细的报告 Your company slogan 恶意代码分析步骤 1 • 利用静态特征分析的方法分析恶意代码的加密 和压缩特性 2 • 通过动态调试法来评估恶意代码运行过程中对 系统文件、注册表和网络通讯状态的影响 3 • 通过静态语义分析,根据1和2的结果判断恶意 代码的功能模块构成…… 4 5 • 利用3的分析结果,再次进行跟踪调试 • 对恶意代码所有技术特征进行评估,并给出详 细的报告 Your company slogan 恶意代码分析步骤 1 • 利用静态特征分析的方法分析恶意代码的加密 和压缩特性 2 • 通过动态调试法来评估恶意代码运行过程中对 系统文件、注册表和网络通讯状态的影响 3 • 通过静态语义分析,根据1和2的结果判断恶意 代码的功能模块构成…… 4 5 • 利用3的分析结果,再次进行跟踪调试 • 对恶意代码所有技术特征进行评估,并给出详 细的报告 Your company slogan 恶意代码分析步骤 1 • 利用静态特征分析的方法分析恶意代码的加密 和压缩特性 2 • 通过动态调试法来评估恶意代码运行过程中对 系统文件、注册表和网络通讯状态的影响 3 • 通过静态语义分析,根据1和2的结果判断恶意 代码的功能模块构成…… 4 5 • 利用3的分析结果,再次进行跟踪调试 • 对恶意代码所有技术特征进行评估,并给出详 细的报告 Your company slogan 作战篇 2 1 2 3 恶意代码的分析 恶意代码的防御 恶意代码的清除方法 Your company slogan 恶意代码的防御技术 技术对比 基于主机 防御 技术 基于良性 蠕虫 基于网络 Your company slogan 基于主机的恶意代码防御技术 误用检测技术,也称基于特征字的恶意代码检测 计算机程 序或数据 恶意代码 检测 清除 恶意代码 删除文件 恶意代码 特征库 Your company slogan 基于特征字的恶意代码检测 优点 实现简单 检测速度快 误报率低 缺点 对压缩、加密、变形的恶意代码不能很好的处理 需要不断更新查毒引擎和特征库,不能检测未知恶意代 码 Your company slogan 基于主机的恶意代码防御技术 完整性技术 校验和技术 Windows的代码签名验证技术 权限控制技术 沙箱技术 安全操作系统 Your company slogan 权限控制技术 沙箱技术 • 沙箱技术是指系统根据每 个应用程序可以访问的资 源,以及系统授权给该应 用程序的权限建立一个属 于该应用程序的“沙箱”。 每个应用程序都运行在自 己受保护的“沙箱”之中, 不能影响其它程序的运行, 也不能影响操作系统的正 常运行。并且,操作系统 和驱动程序也运行在自己 的“沙箱”中。 安全操作系统 • 安全操作系统具有一套强 制存取控制机制它将计算 机系统划分为三个空间: 系统管理空间、用户空间 和保护空间;它将进入系 的用户划分为两类:不具 有特权的普通用户和系统 管理员。系统管理空间不 能被普通用户读写。用户 空间包含用户的应用程序 和数据,可以被用户读写。 Your company slogan 恶意代码的防御技术 基于主机 基于网络 防御 技术 技术对比 基于良性 蠕虫 Your company slogan 基于网络的恶意代码检测技术 异常检测 可发现网络内主机可能感染恶意代码以及感染恶意代码的程 序,然后采取控制措施,如限制计算机发送数据包计算机断 网。 优点: 能很快发现网络流量的异常,并采取措施,避免网络瘫痪和 恶意代码的大规模传播。 能检测出已知恶意代码产生的异常流量,也能检测出未知的 新出现的恶意代码。 缺点: 不能检测出计算机究竟感染了哪一种恶意代码。不利于采取 有针对性的防范措施。 误报率相对比较高。 Your company slogan 基于网络的恶意代码检测技术 误用检测 基于网络的恶意代码检测中使用的特征串与基于主机检测使 用的特征串不同,一个特征码规则可以有多个特征串,特征 码规则指定了每个特征串的相对偏移和间隔位置。 优点: 能够检测出计算机感染恶意代码的具体类型。 检测结果比较准确。 缺点: 一般不能检测出未知恶意代码。 检测范围和准确性依赖于特征库的完备程度,并需要不断更 新特征库规则。 Your company slogan 基于网络的恶意代码防御技术 网络隔离技术 • 检测到计算机感染了恶意代 码后立即把该计算机断网。 这可以立即阻止该计算机继 续传播恶意代码和对网络的 破坏,工程实施起来也相对 简单。但是,由于检测技术 存在误报,从而导致错误地 隔离了计算机。另外,采取 隔离措施后,计算计不上网, 像下载补丁、杀毒软件升级 等正常的防范措施也不能进 行。 防火墙控制技术 • 根据恶意代码传播的特点通 过设置和修改防火墙规则, 禁止恶意代码的传播和扫描 数据包通过,从而达到控制 恶意代码的目的。这种技术 只限制恶意代码流量通过, 而允许正常的网络流量通过, 效果相对比较好。 Your company slogan 恶意代码的防御技术 基于网络 基于良性 蠕虫 防御 技术 基于主机 技术对比 Your company slogan 基于良性蠕虫的恶意代码防御技术 良性蠕虫可以采取先利用漏洞或其它途径进入目标主机, 然后对恶意代码进行查杀、修补漏洞等措施,最后进行自 动扩散并退出目标主机。 “冲击波杀手”蠕虫编写者的本意是想用它自动清除“冲 击波”蠕虫,但结果“冲击波杀手”蠕虫对网络的破坏程 度甚至比“冲击波”蠕虫本身还要严重。 Your company slogan 恶意代码的防御技术 基于良性 蠕虫 技术对比 防御 技术 基于网络 基于主机 Your company slogan 恶意代码防御技术比较 防御技术 防病毒软件 防火墙技术 权限控制技术 完整性技术 其他防御技术 优点 1、技术比较成熟,可以推广 2、操作使用方便 3、对传统病毒和已知恶意代 码防御效果比较好 缺点 1、对木马、蠕虫、脚本病毒、 未知恶意代码防御效果差 2、需要经常升级 3、各种防毒软件性能性能不 同,难以抉择 4、可能影响计算机正常操作 1、对蠕虫防御效果比较好, 1、不能防御计算机病毒 对木马也有一定效果 2、在全网实施成本较高 2、技术比较成熟,容易实现 3、可能会影响网络性能 4、对蠕虫只能控制传播不能 清除 1、对某些类型的恶意代码比 1、不能作为通用技术 较有效 2、难以掌握,使用不便 2、在某些特定应用环境有效 1、技术比较通用 1、难以实现 2、在某些特定应用环境有效 可能在某些特定应用环境有 效 1、不能通用 1、工程实施难度大难以实现 Your company slogan 作战篇 2 1 恶意代码的分析 2 恶意代码的防御 3 恶意代码的清除方法 Your company slogan 恶意代码的清除方法 独立的木马或蠕虫,直接删除执行文件 文件型恶意代码,一般反恶意代码软件需要掌握感染过程 的逆过程,将添加的恶意代码清除,并恢复文件头的正常 设置。 覆盖型恶意代码,由于 原宿主代码部分丢失,程序功能不 能恢复。 Your company slogan 谢谢!