反病毒引擎设计.htm

反病毒引擎设计

      005379e2<BR>&nbsp;&nbsp;......<BR>&nbsp;&nbsp;005379e2: pop 
      ebx<BR>&nbsp;&nbsp;005379e3: sub ebx,0000141a 
      ；设置解密指针初值<BR>&nbsp;&nbsp;005379e9: 
      ret<BR>&nbsp;&nbsp;......<BR>&nbsp;&nbsp;005379f0: dec edx 
      ；减少循环记数值<BR>&nbsp;&nbsp;005379f1: 
      ret<BR>&nbsp;&nbsp;......<BR>&nbsp;&nbsp;00537a00: xor dword 
      ptr[ebx],10e7ed59 ；解密语句，10e7ed59是密钥<BR>&nbsp;&nbsp;00537a06: 
      ret<BR>&nbsp;&nbsp;......<BR>&nbsp;&nbsp;00537a1a: sub ebx,ffffffff 
      <BR>&nbsp;&nbsp;00537a20: sub ebx,fffffffd 
      ；移动解密指针，正向解密<BR>&nbsp;&nbsp;00537a26: 
      ret<BR>&nbsp;&nbsp;......<BR>&nbsp;&nbsp;00537a30: mov edx,74d9cb97 
      ；设置循环记数初值<BR>&nbsp;&nbsp;00537a35: 
      ret<BR>&nbsp;&nbsp;......<BR>&nbsp;&nbsp;00537a3f: call 005379cd 
      ；病毒入口<BR>&nbsp;&nbsp;00537a44: call 00537a30<BR>&nbsp;&nbsp;00537a49: call 
      00537a00<BR>&nbsp;&nbsp;00537a4e: call 00537a1a<BR>&nbsp;&nbsp;00537a53: 
      call 005379f0<BR>&nbsp;&nbsp;00537a58: mov 
      esi,edx<BR>&nbsp;&nbsp;00537a5a: cmp esi,74d9c696 
      ；判断解密结束与否<BR>&nbsp;&nbsp;00537a60: jnz 00537a49<BR>&nbsp;&nbsp;00537a66: 
      jmp 005365b8 
      ；将控制权交给解密后的病毒体入口<BR>&nbsp;&nbsp;以上的代码看上去绝对不会是用编译器编译出来，或是编程者手工写出来的，因为其中充斥了大量的乱数和垃圾。代码中没有注释部分均可认为是垃圾代码，有用部分完成的功能仅是循环向加密过的病毒体的每个双字加上或异或一个固定值。这只是变形病毒传染实例的其中一个，别的实例的解密子和病毒体将不会如此，极度变形以至让人无法辩识。至于变形病毒的实现技术由于涉及复杂的算法和控制，因此不在我们讨论范围内。<BR><BR>这种加密变形病毒的检测用传统的静态特征码扫描技术显然已经不行了。为此我们采取的方法是动态特征码扫描技术，所谓“动态特征码扫描”指先在虚拟机的配合下对病毒进行解密，接着在解密后病毒体明文中寻找特征码。我们知道解密后病毒体明文是稳定不变的，只要能够得到解密后的病毒体就可以使用特征码扫描了。要得到病毒体明文首先必须利用虚拟机对病毒的解密子进行解释执行，当跟踪并确定其循环解密完成或达到规定次数后，整个病毒体明文或部分已被保存到一个内部缓冲区中了。虚拟机之所以又被称为通用解密器在于它不用事先知道病毒体的加密算法，而是通过跟踪病毒自身的解密过程来对其进行解密。至于虚拟机怎样解释指令执行，怎样确定可执行代码有无循环解密段等细节将在下一节中介绍。 
      <BR><BR>2.3虚拟机实现技术详解<BR>有了前面关于加密变形病毒的介绍，现在我们知道动态特征码扫描技术的关键就在于必须得到病毒体解密后的明文，而得到明文产生的时机就是病毒自身解密代码解密的完毕。目前有两种方法可以跟踪控制病毒的每一步执行，并能够在病毒循环解密结束后从内存中读出病毒体明文。一种是单步和断点跟踪法，和目前一些程序调试器相类似；另一种方法当然就是虚拟执行法。下面分别分析单步和断点跟踪法和虚拟执行法的技术细节。<BR><BR>单步跟踪和断点是实现传统调试器的最根本技术。单步的工作原理很简单：当CPU在执行一条指令之前会先检查标志寄存器，如果发现其中的陷阱标志被设置则会在指令执行结束后引发一个单步陷阱INT1H。至于断点的设置有软硬之分，软件断点是指调试器用一个通常是单字节的断点指令（CC，即INT3H）替换掉欲触发指令的首字节，当程序执行至断点指令处，默认的调试异常处理代码将被调用，此时保存在栈中的段/偏移地址就是断点指令后一字节的地址；而硬件断点的设置则利用了处理器本身的调试支持，在调试寄存器（DR0--DR4）中设置触发指令的线形地址并设置调试控制寄存器（DR7）中相关的控制位，CPU会在预设指令执行时自动引发调试异常。而Windows本身又提供了一套调试API，使得调试跟踪一个程序变得非常简单：调试器本身不用接挂默认的调试异常处理代码，而只须调用WaitForDebugEvent等待系统发来的调试事件；调试器可利用GetThreadContext挂起被调试线程获取其上下文，并设置上下文中的标志寄存器中的陷阱标志位，最后通过SetThreadContext使设置生效来进行单步调试；调试器还可通过调用两个功能强大的调试API--ReadProcessMemory和WriteProcessMemory来向被调试线程的地址空间中注入断点指令。根据我逆向后的分析结果，VC++的调试器就是直接利用这套调试API写成的。使用以上的调试技术既然可以写出像VC++那样功能齐全的调试器，那么没有理由不能将之运用于病毒代码的自动解密上。最简单的最法：创建待查可执行文件为调试器的调试子进程，然后用上述方法对其进行单步跟踪，每当收到具有EXCEPTION_SINGLE_STEP异常代码的事件时就可以分析该条以单步模式执行的指令，最后当判断病毒的整个解密过程结束后即可调用ReadProcessMemory读出病毒体明文。<BR><BR>用单步和断点跟踪法的唯一一点好处就在于它不用处理每条指令的执行--这意味着它无需编写大量的特定指令处理函数，因为所有的解密代码都交由CPU去执行，调试器不过是在代码被单步中断的间隙得到控制权而已。但这种方法的缺点也是相当明显的：其一容易被病毒觉察到，病毒只须进行简单的堆栈检查，或直接调用IsDebugerPresent就可确定自己正处于被调试状态；其二由于没有相应的机器码分析模块，指令的译码，执行完全依赖于CPU，所以将导致无法准确地获取指令执行细节并对其进行有效的控制。；其三单步和断点跟踪法要求待查可执行文件真实执行，即其将做为系统中一个真实的进程在自己的地址空间中运行，这当然是病毒扫描所不能允许的。很显然，单步和断点跟踪法可以应用在调试器，自动脱壳等方面，但对于查毒却是不合适的。<BR><BR>而使用虚拟执行法的唯一一点缺点就在于它必须在内部处理所有指令的执行--这意味着它需要编写大量的特定指令处理函数来模拟每种指令的执行效果，这里根本不存在何时得到控制权的问题，因为控制权将永远掌握在虚拟机手中。用软件方法模拟CPU并非易事，需要对其机制有足够的了解，否则模拟效果将与真实执行相去甚远。举两个例子：一个是病毒常用的乘法后ASCII调整指令AAM，这条指令因为存在未公开的行为从而常常被病毒用来考验虚拟机设计的优劣。通常情况下AAM是双字节指令，操作码为D4 
      0A（其实0A隐含代表了操作数10）；但也可作为单字节指令明确地指定第二字节除数为任意8位立即数，此时操作码仅为D4。虚拟机必需考虑到后一种指定除数的情况来保证模拟结果的正确性；还有一个例子是关于处理器响应中断的方式，即CPU在刚打开中断后将不会马上响应中断，而必须隔一个指令周期。如果虚拟机没有考虑到该机制则很可能虚拟执行流程会与真实情况不符。但虚拟执行的优点也是很明显的，同时它正好填补了单步和断点跟踪法所力不能及的方面：首先是不可能被病毒觉察到，因为虚拟机将在其内部缓冲区中为被虚拟执行代码设立专用的堆栈，所以堆栈检查结果与实际执行无二（不会向堆栈中压入单步和断点中断时的返回地址）；其次由于虚拟机自身完成指令的解码和地址的计算，所以能够获取每条指令的执行细节并加以控制；最后，最为关键的一条在于虚拟执行确实做到了“虚拟”执行，系统中不会产生代表被执行者的进程，因为被执行者的寄存器组和堆栈等执行要素均在虚拟机内部实现，因而可以认为它在虚拟机地址空间中执行。鉴于虚拟执行法诸多的优点，所以将其运用于通用病毒体解密上是再好不过的了。<BR><BR>通常，虚拟机的设计方案可以采取以下三种之一：自含代码虚拟机（SCCE），缓冲代码虚拟机（BCE），有限代码虚拟机（LCE）。 
      <BR><BR>自含代码虚拟机工作起来象一个真正的CPU。一条指令取自内存，由SCCE解码，并被传送到相应的模拟这条指令的例程，下一条指令则继续这个循环。虚拟机会包含一个例程来对内存/寄存器寻址操作数进行解码，然后还会包括一个用于模拟每个可能在CPU上执行的指令的例程集。正如你所想到的，SCCE的代码会变的无比的巨大而且速度也会很慢。然而SCCE对于一个先进的反病毒软件是很有用的。所有指令都在内部被处理，虚拟机可以对每条指令的动作做出非常详细的报告，这些报告和启发式数据以及通用清除模块将相互参照形成一个有效的反毒系统。同时，反病毒程序能够最精确地控制内存和端口的访问，因为它自己处理地址的解码和计算。<BR><BR>缓冲代码虚拟机是SCCE的一个缩略版,因为相对于SCCE它具有较小的尺寸和更快的执行速度。在BCE中，一条指令是从内存中取得的，并和一个特殊指令表相比较。如果不是特殊指令，则它被进行简单的解码以求得指令的长度，随后所有这样的指令会被导入到一个可以通用地模拟所有非特殊指令的小过程中。而特殊指令，只占整个指令集的一小部分，则在特定的小处理程序中进行模拟。BCE通过将所有非特殊指令用一个小的通用的处理程序模拟来减少它必须特殊处理的指令条数，这样一来它削减了自身的大小并提高了执行速度。但这意味着它将不能真正限制对某个内存区域，端口或其他类似东西的访问，同时它也不可能生成如SCCE提供的同样全面的报告。<BR><BR>有限代码虚拟机有点象用于通用解密的虚拟系统所处的级别。LCE实际上并非一个虚拟机，因为它并不真正的模拟指令，它只简单地跟踪一段代码的寄存器内容，也许会提供一个小的被改动的内存地址表，或是调用过的中断之类的东西。选择使用LCE而非更大更复杂的系统的原因，在于即使只对极少数指令的支持便可以在解密原始加密病毒的路上走很远，因为病毒仅仅使用了INTEL指令集的一小部分来加密其主体。使用LCE，原本处理整个INTEL指令集时的大量花费没有了，带来的是速度的巨大增长。当然，这是以不能处理复杂解密程序段为代价的。当需要进行快速文件扫描时LCE就变的有用起来，因为一个小型但象样的LCE可以用来快速检查执行文件的可疑行为，反之对每个文件都使用SCCE算法将会导致无法忍受的缓慢。当然，如果一个文件看起来可疑，LCE还可以启动某个SCCE代码对文件进行全面检查。 
      <BR><BR>下面开始介绍32位自含代码虚拟机w32encode（w32encode.cpp，Tw32asm.h，Tw32asm.cpp做为查毒引擎的一部分和其它搜索清除模块联编为Rsengine.dll）的程序结构和流程。由于这是一个设计完备且复杂的大型商用虚拟机，其中不可避免地包含了对某些特定病毒的特定处理，为了使虚拟机模型的结构清晰脉络分明，分析时我将做适当的简化。 
      <BR><BR>w32encode的工作原理很简单：它首先设置模拟寄存器组（用一个DWORD全局变量模拟真实CPU内部的一个寄存器，如ENEAX）的初始值，初始化执行堆栈指针（虚拟机用内部的一个数组static 
      int 
      STACK[0x20]来模拟堆栈）。然后进入一个循环，解释执行指令缓冲区ProgBuffer中的头256条指令，如果循环退出时仍未发现病毒的解密循环则可由此判定非加密变形病毒，若发现了解密循环则调用EncodeInst函数重复执行循环解密过程，将病毒体明文解密到DataSeg1或DataSeg2中。相关部分代码如下：<BR><BR>W32Encode0中总体流程控制部分代码： 
      <BR><BR>&nbsp;&nbsp;for (i=0;i&lt;0x100;i++) 
      //首先虚拟执行256条指令试图发现病毒循环解密子<BR>&nbsp;&nbsp;{<BR>&nbsp;&nbsp;if 
      (InstLoc&gt;=0x280) <BR>&nbsp;&nbsp;return(0);<BR>&nbsp;&nbsp;if 
      (InstLoc+ProgSeekOff&gt;=ProgEndOff) <BR>&nbsp;&nbsp;return(0); 
      //以上两条判断语句检查指令位置的合法性<BR>&nbsp;&nbsp;saveinstloc(); 
      //存储当前指令在指令缓冲区中的偏移<BR>&nbsp;&nbsp;HasAddNewInst=0;<BR>&nbsp;&nbsp;if 
      (!(j=parse())) //虚拟执行指令缓冲区中的一条指令<BR>&nbsp;&nbsp;return(0); 
      //遇到不认识的指令时退出循环<BR>&nbsp;&nbsp;if (j==2) //返回值为2说明发现了解密循环 
      <BR>&nbsp;&nbsp;break;<BR>&nbsp;&nbsp;}<BR>&nbsp;&nbsp;if (i==0x100) 
      //执行过256条指令后仍未发现循环则退出<BR>&nbsp;&nbsp;return(0);<BR>&nbsp;&nbsp;PreParse=0; 
      <BR>&nbsp;&nbsp;ProcessInst();<BR>&nbsp;&nbsp;if (!EncodeInst()) 
      //调用解密函数重复执行循环解密过程<BR>&nbsp;&nbsp;return(0);<BR>&nbsp;&nbsp;jmp中判定循环出现部分代码： 
      <BR><BR>&nbsp;&nbsp;if ((loc&gt;=0)&amp;&amp;(loc&lt;InstLoc)) 
      //若转移后指令指针小于当前指令指针则可能出现循环<BR>&nbsp;&nbsp;if (!isinstloc(loc)) 
      //在保存的指令指针数组InstLocArray中查找转移后指<BR>&nbsp;&nbsp;...... 
      //令指针值，如发现则可判定循环出现<BR>&nbsp;&nbsp;else<BR>&nbsp;&nbsp;{<BR>&nbsp;&nbsp;...... 
      <BR>&nbsp;&nbsp;return(2); 
      //返回值2代表发现了解密循环<BR>&nbsp;&nbsp;}<BR>&nbsp;&nbsp;parse中虚拟执行每条指令的过程较复杂一些：通常parse会从取得指令缓冲区ProgBuffer中取得当前指令的头两个字节（包括了全部操作码）并根据它们的值调用相应的指令处理函数。例如当第一个字节等于0F并且第二个字节位与BE后等于BE时，可判定此指令为movszx并同时调用movszx进行处理。当执行进入特定指令的处理函数中时，首先要通过判断寻址方式（调用modregrm或modregrm1）确定指令长度并将控制权交给saveinst函数。saveinst在保存该指令的相关信息后会调用真正指令执行函数W32ExecuteInst。这个函数和parse非常相似，它从SaveInstBuf1中取得当前指令的头两个字节并根据它们的值调用相应的指令模拟函数以完成一条指令的执行。相关部分代码如下：<BR><BR>W32ExecuteInst中指令分遣部分代码：<BR><BR>&nbsp;&nbsp;if 
      ((c&amp;0xf0)==0x50)<BR>&nbsp;&nbsp;{if (ExecutePushPop1(c)) 
      //模拟push和pop<BR>&nbsp;&nbsp;return(gotonext());<BR>&nbsp;&nbsp;return(0);<BR>&nbsp;&nbsp;}<BR>&nbsp;&nbsp;if 
      (c==0x9c)<BR>&nbsp;&nbsp;{if (ExecutePushf()) 
      //模拟pushf<BR>&nbsp;&nbsp;return(gotonext());<BR>&nbsp;&nbsp;return(0);<BR>&nbsp;&nbsp;}<BR>&nbsp;&nbsp;if 
      (c==(char)0x9d)<BR>&nbs