【文章內(nèi)容簡(jiǎn)介】 大小，同時(shí)完成更強(qiáng)大的功能，會(huì)直接執(zhí)行系統(tǒng)平臺(tái)提供的各種可執(zhí)行文件。6． 信息數(shù)據(jù)包括已破解的口令、要攻擊的地址列表、網(wǎng)絡(luò)蠕蟲(chóng)自身的壓縮包等等。 基本功能模塊蠕蟲(chóng)的基本功能模塊共包括以下5部分：1） 搜索模塊：尋找下一臺(tái)要傳染的機(jī)器。為提高搜索效率，可以采用一系列的搜索算法。2） 攻擊模塊：在被感染的機(jī)器上建立傳輸通道（傳染途徑）。為減少第一次傳染數(shù)據(jù)傳輸量，可以采用引導(dǎo)式結(jié)構(gòu)。3） 傳輸模塊：主要是用于計(jì)算機(jī)間的蠕蟲(chóng)體復(fù)制。4） 信息搜集模塊：搜集和建立被傳染機(jī)器上的信息。5） 繁殖模塊：建立自身的多個(gè)副本。在同一臺(tái)機(jī)器上提高傳染效率,避免重復(fù)傳染[3]。 擴(kuò)展功能模塊蠕蟲(chóng)的擴(kuò)展功能模塊由以下4部分組成：1） 隱藏模塊：隱藏蠕蟲(chóng)，逃避簡(jiǎn)單的檢測(cè)。2） 破壞模塊：摧毀或破壞被感染的計(jì)算機(jī)，或在被感染的計(jì)算機(jī)上留下后門程序等等。3） 通信模塊：蠕蟲(chóng)間、蠕蟲(chóng)同黑客之間進(jìn)行交流，可能是未來(lái)蠕蟲(chóng)發(fā)展的側(cè)重點(diǎn)。4） 控制模塊：調(diào)整蠕蟲(chóng)行為，更新其它功能模塊，控制被感染計(jì)算機(jī)，可能是未來(lái)蠕蟲(chóng)發(fā)展的側(cè)重點(diǎn)[3]。蠕蟲(chóng)程序功能模型基本功能模塊擴(kuò)展功能模塊攻擊模塊傳輸模塊信息搜集模塊繁殖模塊通信模塊隱藏模塊破壞模塊控制模塊搜索模塊 蠕蟲(chóng)的結(jié)構(gòu)模型，蠕蟲(chóng)模塊分為基本模塊和擴(kuò)展模塊，基本模塊中包含搜索模塊、攻擊模塊、傳輸模塊、信息搜集模塊、繁殖模塊；擴(kuò)展模塊中包含隱藏模塊、破壞模塊、通信模塊和控制模塊。 蠕蟲(chóng)的工作流程蠕蟲(chóng)程序的工作流程可以分為漏洞掃描、攻擊、傳染、現(xiàn)場(chǎng)處理四個(gè)階段。蠕蟲(chóng)程序掃描到有漏洞的計(jì)算機(jī)系統(tǒng)后，將蠕蟲(chóng)主體遷移到目標(biāo)主機(jī)，然后蠕蟲(chóng)程序進(jìn)入被感染的系統(tǒng)，對(duì)目標(biāo)主機(jī)進(jìn)行現(xiàn)場(chǎng)處理?，F(xiàn)場(chǎng)處理部分的工作包括：隱藏、信息搜集等。同時(shí)蠕蟲(chóng)程序生成多個(gè)副本，重復(fù)上述流程，直到運(yùn)行條件不滿足[2]。是否否否是是掃描攻擊現(xiàn)場(chǎng)處理復(fù)制成功發(fā)現(xiàn)目標(biāo)開(kāi)始是否滿足運(yùn)行條件結(jié)束 蠕蟲(chóng)的工作流程檢測(cè)特征代碼的方法被廣泛地應(yīng)用在病毒或蠕蟲(chóng)檢測(cè)工具中。特征代碼法是檢測(cè)已知病毒或蠕蟲(chóng)的最簡(jiǎn)單、開(kāi)銷最小的方法。特征代碼法的工作原理如下：采集已知病毒或蠕蟲(chóng)樣本，在病毒或蠕蟲(chóng)樣本中，抽取特征代碼。抽取時(shí)依據(jù)如下原則，抽取的代碼比較特殊，不大可能與普通正常程序代碼吻合。抽取的代碼要有適當(dāng)長(zhǎng)度，一方面維持特征代碼的唯一性，另一方面又不要有太大的空間與時(shí)間開(kāi)銷。如果病毒或蠕蟲(chóng)的特征代碼增長(zhǎng)1字節(jié)，要檢測(cè)3000種病毒或蠕蟲(chóng)，增加的空間就是3000字節(jié)[8]。所以要在保持唯一性的前提下，盡量使特征代碼長(zhǎng)度縮短，以減少空間與時(shí)間開(kāi)銷，并將特征代碼納入病毒或蠕蟲(chóng)數(shù)據(jù)庫(kù)。檢測(cè)病毒或蠕蟲(chóng)時(shí)，打開(kāi)被檢測(cè)文件，在文件中檢查是否含有病毒或蠕蟲(chóng)數(shù)據(jù)庫(kù)中的特征代碼。由于特征代碼與病毒或蠕蟲(chóng)一一對(duì)應(yīng)，因此如果在搜索中發(fā)現(xiàn)了符合病毒或蠕蟲(chóng)特征代碼的內(nèi)容，便可以斷定被查文件中包含有該種病毒或蠕蟲(chóng)[7]。要使蠕蟲(chóng)躲過(guò)這種檢測(cè)方法，就要對(duì)蠕蟲(chóng)體進(jìn)行多態(tài)變形，使同一種蠕蟲(chóng)的不同實(shí)例具有相異的形態(tài)，令特征碼檢測(cè)技術(shù)失效。至于如何進(jìn)行蠕蟲(chóng)的多態(tài)，正是本課題要研究的內(nèi)容。 多態(tài)變形技術(shù)的概念多態(tài)變形技術(shù)的發(fā)展和形成，最早在計(jì)算機(jī)病毒中得到體現(xiàn)。一般把使用通常的特征碼檢測(cè)法無(wú)法檢測(cè)(或者極難檢測(cè))的病毒（蠕蟲(chóng)）稱為多態(tài)病毒（蠕蟲(chóng)）[8]。為了使蠕蟲(chóng)代碼躲避檢測(cè)程序的檢測(cè)，需要不斷對(duì)自身的執(zhí)行代碼進(jìn)行變換，盡量隱藏檢測(cè)程序依據(jù)的蠕蟲(chóng)特征代碼，從而使檢測(cè)程序無(wú)法正確偵測(cè)和清除該病毒。針對(duì)這種多態(tài)變形技術(shù)，只有對(duì)其自動(dòng)變形機(jī)理進(jìn)行深入的分析，才能找到有效的檢測(cè)方法。因此，本文對(duì)計(jì)算機(jī)蠕蟲(chóng)的多態(tài)變形機(jī)理進(jìn)行了深入的系統(tǒng)分析，并對(duì)相關(guān)實(shí)例進(jìn)行了討論。 什么是多態(tài)變形技術(shù)1． 什么是多態(tài)多態(tài)[9]就是使蠕蟲(chóng)能夠改變自身的存儲(chǔ)形式的技術(shù)，使傳統(tǒng)的依靠特征值檢測(cè)的技術(shù)失效。2． 什么是變形變形[9]則在多態(tài)的基礎(chǔ)上更進(jìn)一步。對(duì)整個(gè)蠕蟲(chóng)體都進(jìn)行處理，使同一種蠕蟲(chóng)的不同實(shí)例的代碼完全不同，不但沒(méi)有固定的特征碼，而且也無(wú)需還原成沒(méi)有任何變化的蠕蟲(chóng)體。如果說(shuō)對(duì)付多態(tài)還可以通過(guò)虛擬機(jī)等技術(shù)[7]，待蠕蟲(chóng)體被還原之后檢測(cè)特征值，那么完全的變形則使得這種技術(shù)完全失效[10]。 常見(jiàn)的多態(tài)變形技術(shù)1． 多態(tài)變形病毒多態(tài)變形病毒日益增多，這種現(xiàn)象可以看作是病毒作者為了反擊高級(jí)病毒掃描器而做出的反應(yīng)。因?yàn)樵O(shè)計(jì)合理的掃描器可以病毒的特征碼發(fā)現(xiàn)病毒，因此，挫敗掃描器的方法就是設(shè)計(jì)可以改變自身代碼的病毒，從而使搜索字符串的識(shí)別技術(shù)失去效果。 多態(tài)變形病毒面對(duì)掃描器時(shí)，主要是通過(guò)代碼變換及加密來(lái)隱藏自己。常見(jiàn)的策略是用變化的key加密病毒體的主要部分，而保持解密執(zhí)行程序不變。為了防止搜索字符串的方法檢測(cè)到，解密代碼在每一次的感染過(guò)程中都會(huì)改變。然而，設(shè)計(jì)多態(tài)變形病毒要求病毒作者有很扎實(shí)的基本功，以及很多技巧。因此，這在段相對(duì)較長(zhǎng)的時(shí)間里，導(dǎo)致世面上較少出現(xiàn)真正的多態(tài)變形病毒。當(dāng)然，世界不會(huì)一成不變。因此，在某個(gè)階段，從事病毒貿(mào)易的大哥級(jí)人物注意到這種現(xiàn)象，決定通過(guò)編寫(xiě)并分布多態(tài)變形生成器的方式，向那些缺乏技能的小弟們伸出援手。2．多態(tài)變形生成器從根本上說(shuō)，多態(tài)變形生成器是一些例程，可以與已存在的病毒鏈接。但生成器本身并不是病毒；它們的目的是使用多態(tài)變形的技術(shù)來(lái)隱藏真正的病毒。第一個(gè)通用的多態(tài)變形生成是MutationEngine，也被稱為MtE。在1991年出現(xiàn)，大概有十億多種不同的排列，可以與任何病毒鏈接，它的出現(xiàn)宣告了即時(shí)多態(tài)變形的時(shí)代到來(lái)了。時(shí)至今日，大約有33種已知的病毒使用了MtE。 其它的多態(tài)變形生成在MtE出現(xiàn)后接踵而至。1992年的晚些時(shí)候就出現(xiàn)了兩個(gè)，其中一個(gè)就是TridenTPolymorphicEngine(TPE)。TPE出生在荷蘭。從根本上說(shuō)，它處理的排列數(shù)比MtE要少一些，但是它為反病毒產(chǎn)品準(zhǔn)備了另外的難題，因?yàn)樗傻淖g碼器比MtE生成的更普通，更沒(méi)有代表性（也就更難被檢測(cè)到）。另一個(gè)是NuKE Encryption Device(NED)。NuKE的生成器不是很高級(jí)，但它的獨(dú)到之處是它不像大部分其它的多態(tài)變形生成器那樣發(fā)布目標(biāo)模塊，而是發(fā)布易讀的源碼。 其它比較知名的多態(tài)變形生成器還有：MultipleEncryptor(DAME)DarwinianGeneticMutationEngine(DGME)DarkSlayerMutationEngine(DSME)MutaGenGuns39。n39。RosesPolymorphicEngine(GPE)DarkSlayerConfusionEngine(DSCE)。這些生成器都是通過(guò)地址網(wǎng)絡(luò)，病毒交換BBS與因特網(wǎng)上的專用區(qū)域交換的。3．操作原理 多態(tài)變形生成器的常見(jiàn)形式是一引動(dòng)代碼模塊，程序可以把它插入程序。在這之后，程序就可以調(diào)用代碼模塊中包含的函數(shù)了。這個(gè)過(guò)程被稱為鏈接。生成器一旦鏈接到病毒，將變成病毒的一部分。自那以后，病毒四處傳播時(shí)，都會(huì)帶著生成器。應(yīng)該注意，生成器本身并不在意它與哪種程序鏈接。雖然說(shuō)已知的多態(tài)變形生成器明顯是為病毒而寫(xiě)的，但從根本上說(shuō)，它們也可以用于其它種類的程序。 當(dāng)使用多態(tài)變形生成器的病毒感染程序文件時(shí)（或其它的對(duì)象），會(huì)要求生成器生成病毒體的加密拷貝和生成器本身。除此之外，生成器還將生成譯碼器――一個(gè)例程，把已加密的代碼還原成真正的病毒代碼。生成器使用的加密技術(shù)相對(duì)比較簡(jiǎn)單。不過(guò)，它們?cè)诿看螆?zhí)行時(shí)都會(huì)改變加密key。這樣一來(lái)將使檢測(cè)這樣的病毒變得非常困難，但加密的病毒也有一個(gè)命門：解密例程，如果想要它可執(zhí)行，就不能加密它。因此，多態(tài)變形生成器的真正作用是通過(guò)它變換解密例程的能力來(lái)衡量的。所有的多態(tài)變形生成器為了每次都能創(chuàng)建不同的算法，需要一些隨機(jī)化例程。有些生成器允許病毒作者用自己喜歡的隨機(jī)化例程替換原來(lái)的。多態(tài)變形生成可能創(chuàng)建完全不同的加密方法以及與之對(duì)應(yīng)的各不相同的解密例程。它們一般是通過(guò)以下的方式修改解密例程：移動(dòng)例程周圍的指令，在隨機(jī)的地方增加無(wú)用的指令，使用不同的處理器寄存器和操作碼。這樣做的主要目的是使解密例程對(duì)應(yīng)的二進(jìn)制代碼在不同的感染體內(nèi)完全不一樣。這樣將使那些用固定搜索字符串來(lái)搜索解密例程的方法失效――因?yàn)槎鄳B(tài)變形病毒生成的感染體并不存在相同的搜索目標(biāo)（字符串）。 使用多態(tài)變形生成器的病毒怎樣感染文件: 1.在感染之前的干凈文件。我們把它稱為受害文件。 2.病毒通過(guò)修改受害文件的第一條指令開(kāi)始它的感染過(guò)程。它用jump文件尾部的指令替換它們。被替換的字節(jié)保存在病毒體內(nèi)。 3.接下來(lái)，病毒調(diào)用多態(tài)變形生成器，生成病毒代碼的加密拷貝和生成器本身。生成器也將生成解密例程，并把它添加到受害文件的尾部。 4.把加密的代碼添加到受害文件的尾部。這個(gè)加密的部分包含三小部分：病毒體的真正拷貝；被替換的受害文件的第一條指令；多態(tài)變形生成器的代碼。 多態(tài)變形病毒實(shí)例分析——隨著計(jì)算機(jī)技術(shù)的發(fā)展，蠕蟲(chóng)和病毒的界限越來(lái)越模糊，它們之間的許多技術(shù)都是共用的，并且多態(tài)變形病毒的發(fā)展時(shí)間相對(duì)較長(zhǎng)，變形病毒的實(shí)例也比較典型，所以在這里采用了一個(gè)典型的變形病毒的實(shí)例來(lái)分析蠕蟲(chóng)的多態(tài)變形技術(shù)是合適的，因?yàn)樗麄冇玫降亩鄳B(tài)變形技術(shù)是相同的。，它是由RohitabBatra在1999年設(shè)計(jì)的，雖然Windows998的時(shí)代已經(jīng)過(guò)去，但它的設(shè)計(jì)思想代表一個(gè)時(shí)代的病毒設(shè)計(jì)，其核心思想仍然被廣泛采用。要想有效地識(shí)別出多態(tài)變形蠕蟲(chóng)（病毒），就必須了解多態(tài)變形蠕蟲(chóng)（病毒）的工作原理?！狤ncryptVirus、MutateDecryptor和RadomRegister以及程序入口段——解密器Decryptor來(lái)完成[13]。下面是對(duì)每一部分的功能及工作原理的詳細(xì)分析。1． 解密函數(shù)——Decryptor把程序入口寫(xiě)成機(jī)器碼而非匯編語(yǔ)言，這純粹是為了編程的方便，就是對(duì)這段程序中的寄存器進(jìn)行操作，為了編程方便所以采用了機(jī)器碼的表示方法。同時(shí)必須指出的一點(diǎn)是兩段代碼的唯一區(qū)別在于DB 00字節(jié)，在翻譯成匯編語(yǔ)言以后，它將和DB80、DB36一起組成xor byte ptr[esi], 00h,但要明確的是盡管它們是一條匯編指令，可標(biāo)號(hào)EncryptionKey仍然起作用，也就是說(shuō)無(wú)論在何種情況下EncryptionKey都標(biāo)志著DB 00這個(gè)字節(jié)，而這個(gè)字節(jié)正是密鑰所在，密鑰的設(shè)置在EncryptVirus函數(shù)中完成，00只是一個(gè)初始值。病毒程序入口處的機(jī)器碼翻譯成匯編語(yǔ)言后的結(jié)果。esi中的內(nèi)容就是被加密程序的入口，ecx中的內(nèi)容是被加密的程序代碼的長(zhǎng)度。Encrypted_SIZE的值是$offset EncryptedVirusCode，操作符“$”所表示的是當(dāng)前程序計(jì)數(shù)器的值，所以Encrypted_SIZE才是加密代碼的長(zhǎng)度。程序按照Encrypted_SIZE的值對(duì)程序進(jìn)行解密，直到ecx的值為0，然后進(jìn)入主程序。在主程序中會(huì)對(duì)程序代碼進(jìn)行再次加密并置密鑰，而病毒重新執(zhí)行時(shí)則用上次生成的新密鑰進(jìn)行解密，以使系統(tǒng)能夠識(shí)別代碼的內(nèi)容。 解密器程序StartOfVirusCode:Call GetDeltaGetDeltaDB 5EhDB 83hDB 0C6hDB offset EncryptedVirusCode–offset GetDeltaDD ENCRYPTED_SIZEDecryptByte:DB 80hDB 36hEncryptionKey:DB 00hDB 46hDB 49hjnz DecryptByteEncryptedVirusCodejmp WinMainStartOfVirusCode:call GetDeltaGetDelta:pop esiadd esi, EncryptedVirusCodeGetDeltamov ecx, Encrypted_SIZEDecryptByte:xor btye ptr[esi], 00hEncryptionKey:inc esidec ecxjnz DecryptByteEncryptedVirusCodejmp WinMain是獲得加密入口和被加密的代碼長(zhǎng)度解密是否解密結(jié)束否開(kāi)始結(jié)束 解密函數(shù)流程圖2． 加密函數(shù)——EncryptVirus。 加密器程序EncryptVirus PROCpush ediin al,40hIF DEBUGxor al alENDIFmov ecx,ENCRYPTED_SIZEadd edi,LOADER_SIZEEncryptByte:xor byte ptr[edi],alinc ediloop EncryptByte:pop edimov byte ptr[edi+EncryptionKeyStartOfVirusCode],alcall MutateDecryptorretEncryptVirusEND