方文平
摘要:借鉴生物的基因机制,从木马程序的基因片段入手,来探究检测和查杀木马程序的方法。
关键词:木马基因
1木马程序简介
木马是一种新型的计算机网络病毒程序。它利用自身所具有的植入功能,或依附其它具有传播能力的病毒,或通过入侵后植入等多种途径,进驻目标计算机,搜集其中各种敏感信息,并通过网络与外界通信,发回所搜集到的各种信息,并能接受植入者指令,完成其它各种操作,如修改指定文件、格式化硬盘等。当木马被应用在入侵和攻击方面时,它显示出巨大的危害性。一个典型的木马程序通常具有以下四个特点:有效性、隐蔽性、顽固性和易植入性。
(1)有效性:是指入侵的木马能够与其控制端建立某种有效联系,从而能够充分控制目标机器并窃取其中的敏感信息;(2)隐蔽性:木马病毒必须有能力长期潜伏于目标机器中而不被发现:(3)顽固性:是指有效清除木马病毒的难易程度;(4)易植入性:木马病毒有效性的先决条件。木马技术与蠕虫技术的结合使得木马病毒具有类似蠕虫的传播性,这也极大提高了木马病毒的易植入性。
2木马病毒的新发展
2.1加壳技术
所谓“壳”就是专门压缩的工具。是针对exe、tom和dll等程序文件进行压缩,在程序中加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非法修改和反编译,这段如同保护层的代码,称之为程序的壳。程序的壳有以下作用:(1)保护程序不被修改和反编译;(2)对程序专门进行压缩,以减小文件大小,方便传播和存储。
目前的防火墙和杀毒软件虽然也具有了一定的脱壳能力。但病毒加壳又使用了新技术。
(1)加多层壳。这个加壳方法就是用两种相同或者不同的加壳工具对木马进行双重加壳,这样就等于将木马程序进行了两次压缩计算,自然就会逃脱杀毒软件和防火墙的第一层过滤。使用的加壳算法越多,逃脱防火墙和杀毒软件查杀的几率就越高。
(2)换壳。就是把原来的壳脱了换另一种壳。如FSG就是使用这种方法。还有就是用GUW32脱了再加壳,对于脱壳不干净的软件用UPXpr技术处理再加壳,也可以定制加壳软件和定制壳。
2.2多态和变形技术
病毒多态是使病毒能够改变自身存储形式的技术,使传统的依靠特征值检测的技术失效。变形则在多态的基础上更进一步。对整个病毒体都进行处理,使不同病毒实例的代码完全不同,不但没有固定的特征码,而且也无需还原成没有任何变化的病毒体。
3引入基因机制检测木马病毒
目前,木马程序的查杀主要还是使用特征码的查杀毒方法,但是它的弊端也是众所周知的。在入侵检测领域,无论是基于统计的入侵检测还是基于规则的入侵检测,它们的数据源都是从病毒的攻击或者是表象出发,首先获得病毒或者黑客的攻击表象,然后提取出特征,再抽取表达成模式或者规则,供入侵检测系统进行检测和识别。对这种杀毒机制而言,高频的升级都是滞后的。并且难以发现未知的木马模式,也是制约它们进一步发展的瓶颈。我们必须透过病毒程序的表象看到它们的本质特征,即借鉴生物体的生物机理和机制,将基因机制引入信息安全领域。针对病毒的变形和多态,可以追溯到病毒和恶意软件的本质,即运行时的核心序列和动作,如系统调用序列等,也就是基因层。在基因层面上,部分多态病毒和恶意软件,有的基因一样,有的能从它们的相似度上面找到多态和变形病毒程序之间的亲缘关系,找到查杀抑制病毒的多态和变形的方法,指导一条切实可行,而且高效的途径。对于基因机制引入病毒检测和防护领域,包括以下几个方面:
(1)表象到本质(基因)。从病毒的表象出发,找出病毒程序的本质或者是深层次的根源如系统调用序列,提取出类似生物体中的基因片段,每一个基因片段都对应一个或者多个病毒表象。
(2)单个基因入手。找出病毒基因,关注基因变异(称病毒的基因片段为病变基因,相应的正常程序那部分为正常基因),进而使用基因疗法,用好的基因来置换和修复病变基因、基因修饰和基因失活。
(3)基因片段组合入手。恶意软件中对应的一些基因片段,孤立地看它们都是正常的,但是当它们组合以后,便是一个恶意程序,如木马程序。在这种情况下,我们关注的是基因片段之间的关联关系,打破这种关联,也就可以达到防止这些恶意软件的目的。
(4)已知基因到未知基因。对基因进行诱发变异,产生新的基因。使用的具体方法是:一是定向诱变,就是使用一些领域的知识进行启发式诱变;二是表型诱变,对未知基因进行诱变,发现新的显性和隐性基因突变体及功能改变。
4引入基因机制的可行性分析
(1)计算机病毒单基因存在的可行性:在信息安全中有些病毒或者恶意程序自身的复制能力很强,也就是具有自我复制性。
针对这类病毒,如果能够找出它们自我复制的那部分基因片段或者强行向EXE文件中写入代码的基因片段,就可以借鉴生物上面的基因疗法,首先是报警,然后可以用正常的基因片段来对病变基因进行替换,从根本上达到检测和防治病毒的目的。所以引入单个计算机病毒基因机制是可行的。
(2)计算机病毒基因组存在的可行性:计算机中的程序基因从单个基因角度看时是正常程序也拥有的基因片段,但是它们组合后产生的症状就是恶意程序的典型表现。
5结束语
计算机病毒的传播和破坏能力发生了巨大变化,代码级的木马特征越来越难以捕捉。引入程序基因可以看见程序的本质特征,还能将静态和动态相结合,准确定位程序执行效果。依靠已知木马程序的表象特征,分析系统调用序列,抽取出木马的系统调用序列基因片段,在此基础上利用人工免疫的自学习能力,必将达到对一部分未知木马程序的检测能力。