从行为分析认识计算机病毒.doc
3页
从行为分析认识计算机病毒从行为分析认识计算机病毒【摘耍】本文从计算机病毒更改主机HOSTS文件、修改主机自 启动项、篡改主机注册表信息和感染PE文件四个典型的行为特征进 行分析,提供一种方便、快捷的病毒识别方案,有助于普通用户提高 系统安全维护等级,帮助病毒分析人员锁定病毒耳标 【关键词】计算机病毒;行为特征;VMWare 1.引言 参照《中华人 民共和国计算机信息系统安全保护条例》定义,计算机病毒[1](Com-puter Virus)指“编制者在计算机程序中插入的破坏计算机 功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机 指令或者程序代码” o随着信息技术地不断发展,人们在享受其对生 活带来便利的同时,一种反面角色一一计算机病毒,也在随着信息技 术应用范围的扩大不断渗透,严重威胁着人们的个人隐私和财产安全 维护网络空间的安全人人有责,提高网民对计算机病毒行为特征的识 别能力,有助于做到“早发现、早预防、早处理”,势必能在很大程 度上防止计算机病毒扩散,减少其破坏力 计算机病毒通常具有很强的隐蔽性,不易被人们发现专业的分析人员可能会通过提取 病毒样本,采用逆向工程的技术对病毒可执行代码进行动态或静态反 汇编分析,识别其调用的系统API函数,通过分析这些API的逻辑关 系[2, 3],发现代码段具有的潜在威胁以识别是否为病毒代码。
这种 分析技术难度大、门槛高,即使普通程序员也无法领会其中的精髓 本文从病毒代码的行为特征出发,在搭建的虚拟机环境下分析病毒代 码执行后对系统造成的影响来识别病毒,具有很强的通用性 2.基于VMWare的病毒分析平台搭建 从计算机病毒的定义可知,其运行结果通常会给我们的计算机带来不可预见的破坏结果那么通常 情况下都会借助VMWare软件搭建一个虚拟机平台,让待分析病毒运 行在这个虚拟操作系统中除非特殊情况下,一般不采用真实丄机进 行分析测试另外虚拟机平台分析有个好处是可以在预装完操作系统, 配置好初始环境后做系统快照,完成一次样本分析后恢复快照即可很方便地还原原始系统环境 图1 VWare+XP SP2系统+ProcessMonitor软件分析平台 在搭建完虚拟机环境后,本文推荐使用ProcessMonitor软件观察记录病毒彳亍为特征,如上图1所 示该软件通过配置,可以选择对系统中注册表操作、文件读写、网 络连接活动和进程、线程活动的任意组合进行监控,使用灵活,功能 齐全,足以满足本文所涉及病毒行为分析方法的操作需求 3.病毒典型行为特征 行为特征[4]是最能识别计算机病毒的标志,也是病毒分析工程师通常进行的笫一步工作。
了解相关病毒的行为特 征,可以缩小后续逆向工程中动态分析和静态分析的目标范围,起到 事半功倍的促进作用操作系统一般都具有高可配置性,用户通过对 一些配置文件的修改即可改变计算机系统的操作行为病毒也正是利 用系统的这一特性,通常更改操作系统的正常配置属性,设置一个适 合病毒运行和传播的系统环境在病毒行为特征的分析中,也可从病 毒通常关注的主机HOSTS文件、注册表文件、启动项配置、PE文件 入手,检测是否有病毒操作后的异常特征以识别被监控对象是否为病 毒源 3. 1更改主机HOSTS文件 针对Windows2000/XP系 统,HOSTS 文件通常位于 UC: \ WINDOWS \ system32 \ drivers \ etc n 目录下,该文件是一个纯文本,记录着域名与IP地址的映射关系 用户通过域名访问网络资源时,主机首先查看该文件,如果域名在文 件中有记录,就使用期映射的IP地址进行访问;否则,主机将通过 DNS服务获取域名对应的网络地址,然后通过返回的地址访问网络资 源但是,病毒软件通常利用该文件的功能,诱导用户访问含有病毒、 木马的恶意网址或钓鱼网址,甚至限制用户访问信息安全相关的论坛 网站,避免用户通过查阅资料进行杀毒。
下图2为主机在遭受病毒感 染后不能打开百度主页,引导至另一网站的HOSTS文件截图 图2 HOSTS文件感染截图 3.2修改主机自启动项 在Windows环境下的“开始->所有程序->启动”中可以放置开机自启动程序或 者程序的快捷方式病毒感染主机后通常将自己或自己的快捷方式放 入该文件夹,通常有两个路径“C: \ Documents and Settings \ Administrator \「开始」菜单 \ 程序 \ 启动;C: \ Documents and Settings\All Users \「开始」菜单\程序\启动”,检查的时候需要全面查看但是这种方式启动程序本身容易被发觉,很多病毒、 木马更倾向于直接修改主机注册表文件以隐藏自身不被用户容易地 清除 3. 3修改主机注册表文件 注册表是Windows用于存储系统和应用程序配置信息的数据库,管理着系统的FI常运行先于 Windows3. 0推出OLE技术之前出现,到Windows NT将其广泛应用于 系统级,一直沿用至今通过管理注册表文件,系统可以初始化应用 程序启动参数、决定应用程序启动方式等它就好比Windows系统的 一个大管家,保障系统正常运行。
由于注册表在操作系统管理上具有很强的功能和灵活性,通常被恶意软件利用,修改系统的正常 行为,让病毒、木马的泛滥有机可乘 病毒程序通常需要修改操作系统注册表,将自身或者副本设置为自启动方式一旦被感染主 机运行病毒程序,病毒的下次发作就无需人为触发用户一旦发觉主 机运行出现异常,应该及时杀毒,检查注册表启动项中是否有可疑字 段插入,一旦发现,应该立即清除[5]常见的注册表启动项如表1 所示 表1常见注册表启动项 键名路径 loadHKEY CURRENT USER \ Software \ Microsoft \ WindowsNT \ CurrentVersion \ Windows \ load。
