公务员期刊网 论文中心 正文

计算机病毒软件检测思索

前言:想要写出一篇引人入胜的文章?我们特意为您整理了计算机病毒软件检测思索范文,希望能给你带来灵感和参考,敬请阅读。

计算机病毒软件检测思索

1计算机病毒行为特征

(1)传染性

传染性是计算机病毒最重要的特征,是判断一段程序代码是否为计算机病毒的依据。计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。是否具有传染性是判别一个程序是否为计算机病毒的重要条件。

(2)非授权性

病毒隐藏在合法程序中,当用户调用合法程序时窃取到系统的控制权,先于合法程序执行,病毒的动作、目的对用户是未知的,是未经用户允许的。

(3)隐蔽性

病毒一般是具有很高编程技巧、短小精悍的程序,它们一般附着在合法程序之中,也有个别的以隐含文件形式出现,目的是不让用户发现它的存在。如果不经过代码分析,病毒程序与合法程序是不容易区别开来的。

(4)潜伏性

大部分的病毒传染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动破坏模块。如著名的在每月26日发作的CIH病毒。

(5)破坏性

病毒可分为良性病毒与恶性病毒。良性病毒多数都是编制者的恶作剧,它对文件、数据不具有破坏性,但会浪费系统资源。而恶性病毒则会破坏数据、删除文件或加密磁盘、格式化磁盘等。

(6)不可预见性

从对病毒检测方面看,病毒还有不可预见性。不同种类的病毒,它们的代码千差万别。虽然反病毒技术在不断发展,但是病毒的制作技术也在不断的提高,病毒总是先于相应反病毒技术出现。

(7)可触发性

计算机病毒一般都有一个或者几个触发条件。如果满足其触发条件,将激活病毒的传染机制进行传染,或者激活病毒的表现部分或破坏部分。病毒的触发条件越多,则传染性越强。

2实验环境

本文的实验环境为一台PC机,其运行WindowsXPSP3系统和装有WindowsXPSP3系统的Vmvare7.0虚拟机,其中还有OllyDBG、Filemon、SReng2、Regshot、SSM在开始实验之前,我们先要确保虚拟机内的系统纯净,然后保存虚拟机的快照。

3检测分析计算机病毒过程

运行Regshot进行注册表快照比较。首先,运行Regshot软件,然后选择日志输出路径后点击1stshot,即对纯净系统下的注册表进行快照,之后不要退出程序,接下来运行我们要测试的neworz.exe,再点击2stshot,即对运行病毒后的注册表进行快照。在第二次快照完成之后,点击compare便会在IE浏览器中显示出注册表的变化,由于该病毒修改表项过多,此处只展示一部分。通过报告我们知道neworz共对注册表造成影响有541项,通过上图我们能够发现,此病毒对很多杀毒软件进行了映像劫持操作。

(1)对使用系统端口进行比较在进行完注册表对比后,我们将虚拟机系统还原至纯净快照,运行CMD,切换到C盘根目录下,输入netstat–an>netstat1.txt,这样做是保存纯净系统下系统所开端口的记录。之后运行病毒文件,再次输入netstat–an>netstat2.txt。对比两个TXT文档的变化,在这里,用的是UltraEdit进行的比较。通过比较我们发现在运行neworz.exe之后,虚拟机有了一个端口为1401的TCP链接,指向一个特定IP的80端口,打开TCPview软件,对所有TCP链接进行监控后发现这个1401端口正是neworz.exe打开用来与远程主机通信的。

(2)用SReng2分析病毒样本静态行为再次将虚拟机还原到纯净快照处,这次我们要用到SReng2软件。打开SReng2,点击左侧的智能扫描,然后开始扫描,保存扫描结果。在运行病毒后再次运行SReng2,并保存扫描结果,用UE对比两次结果。我们能够发现在进程中多了neworz.exe进程,同时发现其获得了SeDebugPrivilege和SeLoadDriverPrivilege权限,并且在有一个不是在C:\Windows\System32目录下的svchost.exe也同样获得了这两个权限。

(3)通过Filemon观察病毒的操作在这里需要提前说明一点,根据前面的分析研究发现neworz.exe病毒也对Filemon进行了映像劫持,所以需要将主程序名更改一下方可正常运行。同样,还原虚拟机至纯净快照,打开Filemon,将过滤条件设置成为neworz.exe,然后运行病毒程序。由于信息量很大,只列举一部分,如图2所示,我们可以发现在其在C:\DocumentsandSettings\Administrator\LocalSettings\Temp目录下创建了绿化.bat,还发现其在相同的目录下创建了svchost.exe和urlmOn.dll。

(4)OllyDBG分析还原虚拟机系统,运行PEID对neworz.exe进行查壳,发现其使用的是WinUpack0.39final的壳。对其脱壳,脱壳过程不在这里进行说明了。脱壳之后显示是VC6.0编写的。将其载入OD,查找字符串,结合我们刚才对neworz.exe行为的分析,我们发现了其创建的绿化.bat和修改的权限,图3是病毒对注册表的修改,我们可以发现其对大部分的杀毒软件都进行了映像劫持,同时还有任务管理器。

(5)通过HIPS软件SSM对病毒进行动态分析与Filemon一样,在用SSM对病毒进行动态监控时,也需要将SSM主程序更改名称。最后一次将系统还原至纯净,安装SSM,并将系统内的安全进程设为信任。再次运行病毒,可以发现neworz.exe运行了winlogon.exe,之后services.exe运行了Beep.sys等等,在这里就不一一举例了。

4总结

本文通过对neworz.exe计算机病毒为例,总结了使用虚拟机和软件行为分析技术对检测病毒行为的各个步骤:注册表快照对比、端口开放与通信对比、利用SReng2比较分析、通过使用Filemon观察病毒文件操作、研究分析OD字符串和使用HIPS软件对病毒进行动态观察等,使得在接下来的查杀和今后的防御有了极大的帮助。