殺毒軟件(Anti-virus Software),也稱反病毒軟件或防毒軟件,是可以用來掃描文件,以確定和消除計算機病毒、特洛伊木馬和其他惡意軟件的一類軟件。殺毒軟件一般由掃描器、病毒庫與虛擬機組成。
對于一款殺毒軟件來說,一次成功的病毒查殺過程,通常都要經(jīng)歷病毒識別、病毒報警、病毒清除、文件或系統(tǒng)復原這幾個過程。最關鍵的是殺毒引擎技術,從廣義上來講,是指通過文件、網(wǎng)頁監(jiān)視等實時監(jiān)控行為,運用文件識別技術來完成病毒掃描、識別、報警以及清除,甚至防御的一整套的機制,因此引擎技術也決定了殺毒軟件的優(yōu)劣,而引擎所包含的眾多技術中,病毒識別技術又是重中之重。病毒庫是存儲病毒的特征碼。而虛擬機可以使病毒在一個由殺毒軟件構建的虛擬環(huán)境中執(zhí)行,與現(xiàn)實的CPU、硬盤等完全隔離,從而可以更加深入的檢測文件的安全性。
1、檢測殺毒軟件的方法
檢測病毒方法通常有:特征代碼法、校驗和法、行為監(jiān)測法、軟件模擬法、啟發(fā)式掃描。
特征代碼法:“同一病毒或同類病毒的某一部分代碼相同”的原理來識別病毒文件。該技術是利用留在受感染文件中的病毒特征值進行檢測。發(fā)現(xiàn)新病毒后,對其進行分析,根據(jù)其特征編成病毒碼,加入到數(shù)據(jù)庫中。今后在執(zhí)行查毒程序時,通過對比文件與病毒數(shù)據(jù)庫中的病毒特征碼,檢查文件是否含有病毒。
校驗和法:此法計算文件的校驗和并保存,可定期或調用文件時進行對比,從而判斷文件是否被病毒感染。
行為監(jiān)測法:此法根據(jù)病毒的行為特征來識別病毒,這需要對病毒行為進行詳細的分類和研究,分析那些病毒共同的行為,以及正常程序的罕見行為,根據(jù)程序運行時的行為進行病毒判斷和預警。
軟件模擬法:這種方法通過模擬病毒運行的方式來檢測病毒特征。
啟發(fā)式掃描是特征碼掃描的一個分支,病毒完成特定的功能需要有相應的代碼,啟發(fā)式掃描的特征碼就是針對病毒的這些功能總結出來的一套可以判定文件行為的代碼。
啟發(fā)式掃描就是給各種威脅計算機安全的代碼進行加權,舉一個簡單的例子,殺毒軟件設置了如下加權標準:
在系統(tǒng)目錄下釋放文件得20分
格式化分區(qū)得100分
插入遠程線程得50分
……………
一個新病毒,他會在系統(tǒng)目錄下釋放3個文件并且會插入到IE的進程中,殺毒軟件使用了啟發(fā)式掃描并定義了一個判定病毒的分數(shù)。假設這里的分數(shù)為60分,當殺毒軟件對某文件的加權得分達到60分之后,就將該文件判定為病毒,不到60分則放過該文件。
2、脫殼
加殼其實就是把木馬病毒文件用加密算法壓縮,讓殺毒引擎無法讀取這個文件,從而不能和特征庫匹配。
加殼和脫殼,簡單說就是軟件的加密和解密。病毒、木馬加殼已經(jīng)是非常普遍的現(xiàn)象了,目前主要有兩種脫殼技術:算法脫殼和動態(tài)脫殼,目前主流的殺毒軟件都引入了虛擬機技術,雖然這會占用一定的系統(tǒng)資源,但使帶殼的病毒文件,運行于虛擬機之上,不僅可以更好的識別各種殼,還可以有效防止病毒真正的感染文件。
算法脫殼:此法是根據(jù)加殼程序的解密算法對病毒進行脫殼,雖然有速度快、消耗資源少的優(yōu)點,但也有無法脫變形殼的缺點。不過,很多殺毒軟件還是能夠向用戶發(fā)出警報,以彌補無法脫殼的缺憾。
動態(tài)脫殼:眾所周知,只有讓加過殼的程序運行起來,才能將其還原成本來的面目,此時為了避免程序運行后真正感染系統(tǒng)文件,因此引入了虛擬機技術,為帶殼的病毒程序虛擬一個計算機環(huán)境,使它運行于虛擬環(huán)境。此法雖優(yōu)勢明顯,但也會消耗很多的系統(tǒng)資源。
3、特征碼掃描樣例
病毒特征碼需要滿足以下幾個要求:
1、不能從數(shù)據(jù)區(qū)提取,因為數(shù)據(jù)區(qū)的內容很容易改變,一旦病毒程序變更版本,改變了數(shù)據(jù)內容,特征碼就會失效。而其它的區(qū)塊則相對來說保險一些。
2、在保持特征碼的唯一性的前提下,應當盡量使得特征碼短小精悍,從而減少檢測過程中的時間與空間的復雜度,提高檢測效率。
3、經(jīng)過詳細的逆向分析之后選取出來的特征碼,才足以將該病毒與其它病毒或正常程序相區(qū)別。
4、病毒程序的特征碼一定不能匹配到普通程序,比如選取病毒入口點的二進制代碼,就必然出現(xiàn)誤報的情況。
5、特征碼的長度應當控制在64個字節(jié)以內。
病毒文件中總會存在一些可供識別的字符串,很多時候,這些字符串是某個病毒所特有的,因此這種方式適用于所有病毒的特征碼的提取。采用這種方式甚至還能識別某一大類病毒,但是缺點是需要耗費比較多的掃描時間。以我們之前討論過的“熊貓燒香”病毒為例,經(jīng)過我們之前的逆向分析可以知道,病毒最開始會使用“xboy”以及“whboy”這兩個字符串來進行解密的操作。比如我們嘗試一下,在病毒程序的二進制代碼中搜索“whboy”:
相信一般的程序中不會出現(xiàn)“whboy”以及“xboy”這兩段字符,因此就可以考慮將這兩個字符串或者其中的一個字符串作為“熊貓燒香”病毒的特征碼。這樣只要對目標程序中的可打印字符串進行檢索,如果發(fā)現(xiàn)了“whboy”就可以認為目標程序是“熊貓燒香”病毒程序。這樣即便是病毒出現(xiàn)了變種,只要它依舊包含有“whboy”,我們就依然能夠實現(xiàn)查殺的工作。或者我們也可以考慮使用更長的字符串,比如上圖中開始的那32個字節(jié),即“武漢男生感染下載者**”,將其十六進制代碼提取出來作為特征碼。將這段字符串作為“熊貓燒香”的特征碼。然后可以使用PEiD查看一下該段代碼所在的區(qū)段:
可見,文件偏移0x0c040位于CODE,即代碼區(qū)段中,那么其實在進行匹配的時候,我們只要檢索目標程序的這個區(qū)段就可以了。或者為了方便起見,我們在檢測目標程序時,只檢測位于文件偏移0x0c040處的字符,如果能夠匹配病毒特征碼,就認為目標程序是病毒。
