反病毒引擎设计.htm

反病毒引擎设计

      StopToRunVirusCode-@0[ebx] ；你的异常处理函数的偏移<BR>&nbsp;&nbsp;push ecx 
      ；你的异常处理函数的偏移压栈<BR>&nbsp;&nbsp;push eax 
      ；前一个err结构的地址压栈<BR>&nbsp;&nbsp;；构造err结构，记这时候的esp(err结构指针)为esp0<BR>&nbsp;&nbsp;……<BR>&nbsp;&nbsp;StopToRunVirusCode:<BR>&nbsp;&nbsp;@1 
      = StopToRunVirusCode<BR>&nbsp;&nbsp;xor ebx, ebx 
      ；发生异常时系统在你的练前又加了一个err结构，<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
      ；所以要先找到原来的结构地址<BR>&nbsp;&nbsp;mov eax, fs:[ebx] ； 
      取现在的err结构的地址eax<BR>&nbsp;&nbsp;mov esp, [eax] ； 
      取下个结构地址即eps0到esp<BR>&nbsp;&nbsp;RestoreSE: 
      ；没有发生异常时顺利的回到这里,你这时的esp为本esp0<BR>&nbsp;&nbsp;pop dword ptr fs:[ebx] 
      ；弹出原来的前一个结构的地址到fs:0<BR>&nbsp;&nbsp;pop eax 
      ；弹出你的异常处理地址，平栈而已<BR>&nbsp;&nbsp;1.2.7病毒隐藏<BR>实现进程或模块隐藏应该是一个成功病毒所必须具备的特征。在WIN9X下Kernel32.dll有一个可以使进程从进程管理器进程列表中消失的导出函数RegisterServiceProcess 
      ，但它不能使病毒逃离一些进程浏览工具的监视。但当你知道这些工具是如何来枚举进程后，你也会找到对付这些工具相应的办法。进程浏览工具在WIN9X下大都使用一个叫做ToolHelp32.dll的动态连接库中的Process32First和Process32Next两个函数来实现进程枚举的；而在WINNT/2000里也有PSAPI.DLL导出的EnumProcess可用以实现同样之功能。所以病毒就可以考虑修改这些公用函数的部分代码，使之不能返回特定进程的信息从而实现病毒的隐藏。<BR><BR>但事情远没有想象中那么简单，俗话说“道高一尺，魔高一丈”，此理不谬。由于现在很多逆项工程师的努力，微软力图隐藏的许多秘密已经逐步被人们所挖掘出来。当然其中就包括WINDOWS内核使用的管理进程和模块的内部数据结构和代码。比如WINNT/2000用由ntoskrnl.exe导出的内核变量PsInitialSystemProcess所指向的进程Eprocess块双向链表来描述系统中所有活动的进程。如果进程浏览工具直接在驱动程序的帮助下从系统内核空间中读出这些数据来枚举进程，那么任何病毒也无法从中逃脱。<BR><BR>有关Eprocess的具体结构和功能，请参看David 
      A.Solomon和Mark E.Russinovich的《Inside 
      Windows2000》第三版。<BR><BR>1.2.8病毒特殊感染法<BR>对病毒稍微有些常识的人都知道，普通病毒是通过将自身附加到宿主尾部（如此一来，宿主的大小就会增加），并修改程序入口点来使病毒得到击活。但现在不少病毒通过使用特殊的感染技巧能够使宿主大小及宿主文件头上的入口点保持不变。<BR><BR>附加了病毒代码却使被感染文件大小不变听起来让人不可思议，其实它是利用了PE文件格式的特点：PE文件的每个节之间留有按簇大小对齐后的空洞，病毒体如果足够小则可以将自身分成几份并分别插入到每个节最后的空隙中，这样就不必额外增加一个节，因而文件大小保持不变。著名的CIH病毒正是运用这一技术的典型范例（它的大小只有1K左右）。<BR><BR>病毒在不修改文件头入口点的前提下要想获得控制权并非易事：入口点不变意味着程序是从原程序的入口代码处开始执行的，病毒必须要将原程序代码中的一处修改为导向病毒入口的跳转指令。原理就是这样，但其中还存在很多可讨论的地方，如在原程序代码的何处插入这条跳转指令。一些查毒工具扫描可执行文件头部的入口点域，如果发现它指向的地方不正常，即不在代码节而在资源节或重定位节中，则有理由怀疑文件感染了某种病毒。所以刚才讨论那种病毒界称之为EPO（入口点模糊）的技术可以很好的对付这样的扫描，同时它还是反虚拟执行的重要手段。<BR><BR>另外值得一提的是现在不少病毒已经支持对压缩文件的感染。如Win32.crypto病毒就可以感染ZIP，ARJ，RAR，ACE，CAB 
      等诸多类型的压缩文件。这些病毒的代码中含有对特定压缩文件类型解压并压缩的代码段，可以先把压缩文件中的内容解压出来，然后对合适的文件进行感染，最后再将感染后文件压缩回去并同时修改压缩文件头部的校验和。目前不少反病毒软件都支持查多种格式的压缩文件，但对有些染毒的压缩文件无法杀除。原因我想可能是怕由于某种缘故，如解压或压缩有误，校验和计算不对等，使得清除后压缩文件格式被破坏。病毒却不用对用户的文件损坏负责，所以不存在这种担心。<BR><BR>2．虚拟机查毒<BR>2.1虚拟机概论<BR>近些年,虚拟机，在反病毒界也被称为通用解密器，已经成为反病毒软件中最引人注目的部分，尽管反病毒者对于它的运用还远没有达到一个完美的程度，但虚拟机以其诸如"病毒指令码模拟器"和"Stryker"等多变的名称为反病毒产品的市场销售带来了光明的前景。以下的讨论将把我们带入一个精彩的虚拟技术的世界中。 
      <BR><BR>首先要谈及的是虚拟机的概念和它与诸如Vmware（美国VMWARE公司生产的一款虚拟机，它支持在WINNT/2000环境下运行如Linux等其它操作系统）和WIN9X下的VDM（DOS虚拟机，它用来在32位保护模式环境中运行16实模式代码）的区别。其实这些虚拟机的设计思想是有渊源可寻的，早在上个世纪60年代IBM就开发了一套名为VM/370的操作系统。VM/370在不同的程序之间提供抢先式多任务，作法是在单一实际的硬件上模式出多部虚拟机器。典型的VM/370会话，使用者坐在电缆连接的远程终端前，经由控制程序的一个IPL命令，模拟真实机器的初始化程序装载操作，于是 
      一套完整的操作系统被载入虚拟机器中，并开始为使用者着手创建一个会话。这套模拟系统是如此的完备，系统程序员甚至可以运行它的一个虚拟副本，来对新版本进行除错。Vmware与此非常相似，它作为原操作系统下的一个应用程序可以为运行于其上的目标操作系统创建出一部虚拟的机器，目标操作系统就象运行在单独一台真正机器上，丝毫察觉不到自己处于Vmware的控制之下。当在Vmware中按下电源键（Power 
      On）时，窗口里出现了机器自检画面，接着是操作系统的载入，一切都和真的一样。而WIN9X为了让多个程序共享CPU和其它硬件资源决定使用VMs（所有Win32应用程序运行在一部系统虚拟机上；而每个16位DOS程序拥有一部DOS虚拟机）。VM是一个完全由软件虚构出来的东西，以和真实电脑完全相同的方式来回应应用程序所提出的需求。从某种角度来看，你可以将一部标准的PC的结构视为一套API。这套API的元素包括硬件I/O系统，和以中断为基础的BIOS和MS-DOS。WIN9X常常以它自己的软件来代理这些传统的API元素，以便能够对珍贵的硬件多重发讯。在VM上运行的应用程序认为自己独占整个机器，它们相信自己是从真正的键盘和鼠标获得输入，并从真正的屏幕上输出。稍被加一点限制，它们甚至可以认为自己完全拥有CPU和全部内存。实现虚拟技术关键在于软件虚拟化和硬件虚拟化，下面简要介绍WIN9X下的DOS虚拟机的实现。<BR><BR>当Windows移往保护模式后，保护模式程序无法直接调用实模式的MS-DOS处理例程，也不能直接调用实模式的BIOS。软件虚拟化就是用来描述保护模式Windows部件是如何能够和实模式MS-DOS和BIOS彼此互动。软件虚拟化要求操作系统能够拦截企图跨越保护模式和实模式边界的调用，并且调整适当的参数寄存器后，改变CPU模式。WIN9X使用虚拟设备驱动（VXD）拦截来自保护模式的中断，通过实模式中断向量表（IVT），将之转换为实模式中断调用。做为转换的一部分，VXD必须使用置于保护模式扩展内存中的参数，生成出适当的参数，并将之放在实模式（V86）操作系统可以存取的地方。服务结束后，VXD在把结果交给扩展内存中保护模式调用端。16位DOS程序中大量的21H和13H中断调用就此解决，但其中还存在不少直接端口I/O操作，这就需要引入硬件虚拟化来解决。虚拟硬件的出现是为了在硬件中断请求线上产生中断请求，为了回应IN和OUT指令，改变特殊内存映射位置等原因。硬件虚拟化依赖于Intel 
      80386+的几个特性。其中一个是I/O许可掩码，使操作系统可能诱捕（Trap）对任何一个端口的所有IN/OUT指令。另一个特性是：由硬件辅助的分页机制，使操作系统能够提供虚拟内存，并拦截对内存地址的存取操作，将Video 
      RAM虚拟化是此很好的例证。最后一个必要的特性是CPU的虚拟8086（V86）模式 ，让DOS程序象在实模式中那样地执行。 
      <BR><BR>我们下面讨论用于查毒的虚拟机并不是象某些人想象的：如Vmware一样为待查可执行程序创建一个虚拟的执行环境，提供它可能用到的一切元素，包括硬盘，端口等，让它在其上自由发挥，最后根据其行为来判定是否为病毒。当然这是个不错的构想，但考虑到其设计难度过大（需模拟元素过多且行为分析要借助人工智能理论），因而只能作为以后发展的方向。我设计的虚拟机严格的说不能称之为虚拟机器，而叫做虚拟CPU，通用解密器等更为合适一些，但由于反病毒界习惯称之为虚拟机，所以在下面的讨论中我还将延续这个名称。查毒的虚拟机是一个软件模拟的CPU，它可以象真正CPU一样取指，译码，执行，它可以模拟一段代码在真正CPU上运行得到的结果。给定一组机器码序列，虚拟机会自动从中取出第一条指令操作码部分，判断操作码类型和寻址方式以确定该指令长度，然后在相应的函数中执行该指令，并根据执行后的结果确定下条指令的位置，如此循环反复直到某个特定情况发生以结束工作，这就是虚拟机的基本工作原理和简单流程。设计虚拟机查毒的目的是为了对付加密变形病毒，虚拟机首先从文件中确定并读取病毒入口处代码，然后以上述工作步骤解释执行病毒头部的解密段（decryptor），最后在执行完的结果（解密后的病毒体明文）中查找病毒的特征码。这里所谓的“虚拟”，并非是创建了什么虚拟环境，而是指染毒文件并没有实际执行，只不过是虚拟机模拟了其真实执行时的效果。这就是虚拟机查毒基本原理，具体介绍请参看后面的相关章节。 
      <BR><BR>当然，虚拟执行技术使用范围远不止自动脱壳（虚拟机查毒实际上是自动跟踪病毒入口的解密子将加密的病毒体按其解密算法进行解密），它还可以应用在跨平台高级语言解释器，恶意代码分析，调试器。如刘涛涛设计的国产调试器Trdos就是完全利用虚拟技术解释执行被调试程序的每条指令，这种调试器比较起传统的断点式调试器（Debug,Softice等）具有诸多优势，如不易被被调试者察觉，断点个数没有限制等。 
      <BR><BR>2.2加密变形病毒<BR>前面提到过设计虚拟机查毒的目的是为了对付加密变形病毒。这一章就重点介绍加密变形技术。<BR><BR>早期病毒没有使用任何复杂的反检测技术，如果拿反汇编工具打开病毒体代码看到的将是真正的机器码。因而可以由病毒体内某处一段机器代码和此处距离病毒入口（注意不是文件头）偏移值来唯一确定一种病毒。查毒时只需简单的确定病毒入口并在指定偏移处扫描特定代码串。这种静态扫描技术对付普通病毒是万无一失的。<BR><BR>随着病毒技术的发展，出现了一类加密病毒。这类病毒的特点是：其入口处具有解密子（decryptor），而病毒主体代码被加了密。运行时首先得到控制权的解密代码将对病毒主体进行循环解密，完成后将控制交给病毒主体运行，病毒主体感染文件时会将解密子，用随机密钥加密过的病毒主体，和保存在病毒体内或嵌入解密子中的密钥一同写入被感染文件。由于同一种病毒的不同传染实例的病毒主体是用不同的密钥进行加密，因而不可能在其中找到唯一的一段代码串和偏移来代表此病毒的特征，似乎静态扫描技术对此即将失效。但仔细想想，不同传染实例的解密子仍保持不变机器码明文（从理论上讲任何加密程序中都存在未加密的机器码，否则程序无法执行），所以将特征码选于此处虽然会冒一定的误报风险（解密子中代码缺少病毒特性，同样的特征码也会出现在正常程序中），但仍不失为一种有效的方法。<BR><BR>由于加密病毒还没有能够完全逃脱静态特征码扫描，所以病毒写作者在加密病毒的基础之上进行改进，使解密子的代码对不同传染实例呈现出多样性，这就出现了加密变形病毒。它和加密病毒非常类似，唯一的改进在于病毒主体在感染不同文件会构造出一个功能相同但代码不同的解密子，也就是不同传染实例的解密子具有相同的解密功能但代码却截然不同。比如原本一条指令完全可以拆成几条来完成，中间可能会被插入无用的垃圾代码。这样，由于无法找到不变的特征码，静态扫描技术就彻底失效了。下面先举两个例子说明加密变形病毒解密子构造，然后再讨论怎样用虚拟执行技术检测加密变形病毒。<BR><BR>著名多形病毒Marburg的变形解密子：<BR><BR>&nbsp;&nbsp;00401020: 
      movsx edi,si ；病毒入口<BR>&nbsp;&nbsp;00401023: movsx 
      edx,bp<BR>&nbsp;&nbsp;00401026: jmp 
      00408a99<BR>&nbsp;&nbsp;......<BR>&nbsp;&nbsp;00407400: 
      ；病毒体入口<BR>&nbsp;&nbsp;加密的病毒主体<BR>&nbsp;&nbsp;00408a94: 
      ；解密指针初始值<BR>&nbsp;&nbsp;......<BR>&nbsp;&nbsp;00408a99: mov 
      dl,f7<BR>&nbsp;&nbsp;00408a9b: movsx edx,bx<BR>&nbsp;&nbsp;00408a9e: mov 
      ecx,cf4b9b4f<BR>&nbsp;&nbsp;00408aa3: call 
      00408ac4<BR>&nbsp;&nbsp;......<BR>&nbsp;&nbsp;00408ac4: pop 
      ebx<BR>&nbsp;&nbsp;00408ac5: jmp 
      00408ade<BR>&nbsp;&nbsp;......<BR>&nbsp;&nbsp;00408ade: mov 
      cx,di<BR>&nbsp;&nbsp;00408ae1: add ebx,9fdbd22d<BR>&nbsp;&nbsp;00408ae7: 
      jmp 00408b08<BR>&nbsp;&nbsp;......<BR>&nbsp;&nbsp;00408b08: add 
      ecx,80c1fbc1<BR>&nbsp;&nbsp;00408b0e: mov ebp,7fcdeff3 
      ；循环解密记数器初值<BR>&nbsp;&nbsp;00408b13: sub cl,39<BR>&nbsp;&nbsp;00408b16: 
      movsx esi,si<BR>&nbsp;&nbsp;00408b19: add dword ptr[ebx+60242dbf],9ef42073 
      ；解密语句，9ef42073是密钥<BR>&nbsp;&nbsp;00408b23: mov 
      edx,6fd1d4cf<BR>&nbsp;&nbsp;00408b28: mov di,dx<BR>&nbsp;&nbsp;00408b2b: 
      inc ebp<BR>&nbsp;&nbsp;00408b2c: xor dl,a3<BR>&nbsp;&nbsp;00408b2f: mov 
      cx,si<BR>&nbsp;&nbsp;00408b32: sub ebx,00000004 ；移动解密偏移指针，逆向解密 
      <BR>&nbsp;&nbsp;00408b38: mov ecx,86425df9<BR>&nbsp;&nbsp;00408b3d: cmp 
      ebp,7fcdf599 ；判断解密结束与否<BR>&nbsp;&nbsp;00408b43: jnz 
      00408b16<BR>&nbsp;&nbsp;00408b49: jmp 
      00408b62<BR>&nbsp;&nbsp;......<BR>&nbsp;&nbsp;00408b62: mov 
      di,bp<BR>&nbsp;&nbsp;00408b65: jmp 00407400 
      ；将控制权交给解密后的病毒体入口<BR>&nbsp;&nbsp;著名多形病毒Hps的变形解密子：<BR><BR>&nbsp;&nbsp;005365b8: 
      ；解密指针初始值和病毒体入口<BR>&nbsp;&nbsp;加密的病毒主体 
      <BR>&nbsp;&nbsp;......<BR>&nbsp;&nbsp;005379cd: call