陇南 | 民生 | 体育 | 亲子 | 国内 | 国际 | 专题 | 评论 | 房市 | 车市 | 财经 | 旅游 | 美食 | 教育 | 文史 | 娱乐 | 

首页 | 陇南 | 国内 | 国际 | 社会 | 财经 | 娱乐 | 体育 | 看图不说话 | 微言大义 | 滚动
陇南网 > 美食 > 正文

寻找黑匣子--程序行为记录与跟踪

2020/1/14 21:12:53 来源:新京报 大字体 小字体 扫码带走
打印

一. 杀不掉的QQ尾巴

来回跑了几次后,小张不由得感到一阵绝望,楼上宣传部门的一台办公电脑感染了QQ尾巴,时不时就在公司员工交流QQ群里冒出几句色情话语,而这个QQ的使用者很不巧是个年轻女孩,而且机器上安装的杀毒软件没有任何反应,于是这杀毒的重任就落到了网络部门的杀毒高手小张身上,而小张的确也不负众望的完成了任务,然而到第二天上班,这个尾巴就又回来了,甚至在每次小张刚离开回到自己办公室,就又看到了群里这个QQ发出来的尾巴。反复几次后,整个办公室的同事都认为小张是故意制造机会和那女孩接触,并借此机会进行跑楼梯的体育锻炼。小张真是有种吃黄连的感觉,自己分明是在已经确认病毒删除完毕而且重启机器也不会恢复的时候才离开的,怎么会反复出现?

这一次,在清理完尾巴重启后,小张打开进程查看工具等待半天,也没看到半个可疑程序,无奈之下他只好让那台机器的使用者坐下来进行平时的操作,而他在旁边盯着工具界面。在那个女孩迟疑的打开QQ时,进程工具里突然出现了一个陌生进程,小张紧张得差点直接用手往那女孩还在握住的鼠标上抓去了:这不是自己这些天里最咬牙切齿的文件名、一切流言蜚语的来源吗?

最后,小张找到了让他哭笑不得的“杀不掉”的尾巴源头:这个恶意程序把QQ目录下的TIMPlatform.exe给替换了,而QQ每次启动时都会加载这个程序,这样一来就等于把恶意程序又运行了一遍,无怪乎杀之不尽赶之不绝,他就差没有对天哀叹了:我又不能监视它运行时做了什么,怎么知道它还会玩这种旁门左道的损招?

随着时代变迁和技术发展,如今的后门和恶意程序早已不再是一般用户能够发现和查杀的普通用户层应用程序了,这也让一些所谓的维护人员成了专业重装系统员,因为他们的工作已经不能像过去那样依靠一两张防病毒产品光盘就可以坐享其成了,即使在大量安全工具的配合下,查杀一个后门也必须要有足够的实际经验和知识,否则他们根本连个影子都找不出来。至于市面上的反病毒产品,在如今众多恶意程序的攻势下也渐渐力不从心,例如前不久闹得轰轰烈烈的AV终结者,就让用户经历了一次莫名其妙的灭顶之灾。然而事实上,AV终结者更像是个手下留情的测试作品,因为它实际上并未采用高级的技术来进行破坏和保护自己不被发现,否则,这就真的是一次灭顶之灾了。

但是,无论技术手段多么高级的恶意程序,它都首先需要在用户的机器上成功运行起来,然后按照设计的思路,释放文件、打开驱动、注入进程、改写注册表等,如果我们能将这些步骤记录下来,那么我们不也就能完整的发现恶意程序的所有操作,并有很大的机会把它对系统做的破坏操作给恢复了吗?

二. 黑匣子的原理

对于一般用户而言,一个程序从开始运行直到结束,这期间内都做过什么,并不是我们需要关心的事情,他们只要听到播放器里的音乐、看到电影画面、和远方的朋友用通讯工具聊天就可以了,有谁会去关心从用户点击播放器程序图标到音乐响起的时间里,这个程序具体做了什么事情呢?然而,如果面对的程序是恶意软件之流,用户就不得不关心一下它到底对自己的计算机造成什么影响了。

程序在运行期间所进行的操作被称为“程序行为”(Action),一般泛指程序进行的相对表现较明显的操作,例如创建读写文件、访问注册表、连接网络等,而在这些操作之外做的程序内部运算、判断、逻辑等操作并不是我们需要关心的,除非是对它进行复杂的分析如逆向工程。对程序行为进行监视记录的过程就是“跟踪”(Tracing),如果要进一步深入,则要使用调试器(Debugger)环境进行汇编级的指令分析,这就是“调试”(Debugging),也可视为更全面的跟踪,因为调试过程可观察到整个程序里的运算和每一步过程。

也许很多用户会觉得,这些复杂技术距离我们很远,甚至会想像为需要复杂设备和程序才能完成,其实,这些技术的应用范围,一直就在我们身边。如果你正在使用一款防毒产品,那么你系统里执行的程序就已经处于被记录行为的状态了;如果你使用HIPS产品,就会更强烈的感受到程序运行被监视着;如果你正在使用调试器,那就不用我说了吧……
在Windows系统里,至少有三种技术可以实现程序行为的记录,甚至控制程序的某些行为,分别是“虚拟机”(VM)、“API钩子”(API Hooking)和“API跟踪”(API Tracing)。

应用广泛的虚拟机技术

经常提到的虚拟机技术有两种,一种是普遍应用上的虚拟机技术,它是通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统,此类虚拟机的概念比较广泛,可以是一种使用软件模拟一个完整的计算机硬件环境技术如VMWare,也可以是介于硬件和编译程序之间的交互介质,如Java虚拟机等;另一种则是反病毒产品中使用的“通用解密器”技术,为了检测一些复杂或者代码加密的病毒,杀毒引擎必须让它运行起来以便自我暴露危险程序行为,但是如果病毒真的在用户计算机里运行了,就违背反病毒产品的初衷了,因此反病毒产品也采取了一种虚拟环境检测方法,这就是虚拟机技术,但是这个技术并非是为病毒提供一套计算机仿真系统,这样就太庞大复杂和消耗资源了,这种虚拟机是指杀毒引擎模拟出一个仿真CPU,这个“CPU”具备和真正CPU等同的指令分析功能,杀毒引擎将待检测的程序代码读入“CPU”中逐条指令循环执行,直到出现特定情况才结束工作,在这个过程中探知程序是否具备病毒行为特征或者暴露出病毒特征码。这就是杀毒引擎的“虚拟机技术”,它的目的就是让程序文件在没有实际运行的情况下得到运行后的结果。

无论是哪种虚拟机技术,它们都能记录和解释程序的每一步执行过程,否则将无法正常运行程序,这也就说明,程序行为是可以被记录的,只是一般不会提供用户查看的接口。在恶意软件检测工作上,虚拟机技术可以帮助安全人员在不会真正让自己感染病毒的环境下放心的运行恶意程序,从而通过其他手段记录程序行为,普通用户也可通过虚拟机技术来保护自己的系统免受各种恶意软件的攻击,在虚拟环境中执行的程序,所做的一切改动都不会影响到真实的系统,所以用户要理清这个概念,避免不必要的损失,例如现在流行的影子系统(Shadow),它是通过在应用层上虚拟出一个目前的系统环境,所有的操作都没有写入真正的磁盘文件上,从而保证用户在上网时无论遭遇什么后门病毒,重启后都不会存在,最终实现了绝对安全的系统环境。然而,如果用户对它的机制不够了解,单纯认为它只是用来防范病毒,那就大错特错了,如果一个职员为了系统安全而使用全保护模式的影子系统,然后她又把公司的工作任务直接在电脑上完成并保存,那么重启后,她将会发现这一天的努力全化作了泡影!其实非蠕虫性质的网络入侵突破点通常只有几个,如浏览器、即时通讯程序、邮件等,那么我们只要单纯把这几个程序放入虚拟环境中,就不需要把整个系统都变成影子来防范了,这个技术被称为“沙箱”(Sandbox),与影子系统相似,它也是一种虚拟机环境,但是它仅仅为用户指定的程序提供虚拟作用,而不是整个系统,这样一来,有虚拟机需求的用户就不用担心自己辛苦撰写的文件由于一次习惯性的疏忽而丢失了。


充满钩子的世界——API Hooking

钩子技术在Windows系统中的作用与重要性我在这里就不再复述了,尤其从早期rootkit技术开始,这些钩子就伸向了更底层的系统内核中,从而获得了突破一切传统木马与病毒的权限,而后,大量的恶意软件纷纷向底层靠拢,到今天为止,一般用户已经无法通过简单的删除某个目录某个文件的方法来达到把一些软件扫地出门的效果了。

如果要一个用户谈及对恶意软件的感受,他的第一想法一定是“无法删除和卸载”;如果他被告知自己机器上还存在着rootkit后门,他的反应一定是不相信,因为他“安装着最新的杀毒软件”,如果这个用户对系统只有一些使用经验,那么他会发现任务管理器里没看到什么奇怪的进程,所以他仍然会认为自己系统是安全的。

造成这些现象的原因是什么呢?因为这些恶意程序使用的交互接口,并非Ring 3用户层上的标准Win32 API,而是通过各种手段如驱动程序进入到Ring 0内核层的Native API。
“Native API”(原生API)是Windows NT架构系统中真正工作的API,众所周知,Windows是一个通过大量API函数来实现程序功能的系统,然而,由于Windows是支持POSIX标准(可移植操作系统接口,Portable Operating System Interface)的系统,这就意味着,它除了能运行标准Windows平台程序(即Win32程序)以外,还支持少量其他平台上的程序运行,如OS/2。由于不同平台的程序功能实现方法差异,系统就必须分别为它支持的各个符合POSIX标准的程序提供相应的接口函数,如果根据这个思路去开发一套庞大而完整的接口函数调用,那就太不切实际了,于是,在NT架构系统上,开发者设计了两种不同性质的API接口层,一种被称为“用户态API”,它包括常见的Win32 API和POSIX接口API等,这些API运行在Ring3用户层上,构成了今天的Windows世界;而另一种是被称为“Native”性质的API,它们才是真正的系统API,通常运行在内核态上,实现真正的系统核心功能调用。同时为了实现POSIX,开发者还设计了被称为“子系统”(Sub System)的技术来将不同的系统环境区别开来,正常情况下,从系统引导到桌面时,我们就处于“Win32”子系统下,这时候起到作用的自然就是Win32 API。普通程序员平时接触到的几千个Win32 API,实际上都是通过几百个Native API的不同封装形式来实现的。系统厂商极少提供这些API的公开文档,是因为它们要比一般的函数难以应用而且可能发生变化,当程序员使用Win32 API时,最终的执行过程是在系统经过兼容性检查、错误处理、参数选项分离等一系列复杂转换后,才送入Native API进行处理的,Native API才是真正执行并反馈运行结果的主体,用户层的API调用只是一种封装形式罢了,例如fopen和CreateFile这两个Win32函数,它们的真正执行函数是Native性质的NtCreate
相关阅读:
珊瑚大厅房卡 http://401931.b2b.jinanfa.cn/


关于我们 |  联系方式 |  广告服务 |  业务范围 |  本网招聘 |  站点地图 |  版权声明 |  员工查询
新闻许可:国新网3712006003号   电信许可:鲁B2-20090035   ICP:鲁ICP备09023214号  

Copyright 1997-2014 All Rights Reserved.