【正文】 統(tǒng)，內(nèi)存，處理器及各種硬件組件構(gòu)成的，網(wǎng)絡(luò)上提到的四種檢測(cè)手段均包含了這些因素?？v觀網(wǎng)絡(luò)上各種檢測(cè)方法，也均在此四類當(dāng)中。因此，對(duì)于這些檢測(cè)手段，本團(tuán)隊(duì)在惡意行為檢測(cè)平臺(tái)中對(duì)于這4種情況分別做了種種的分析及匹配特征，也在惡意行為分析平臺(tái)中加入了檢測(cè)反虛擬機(jī)技術(shù)的行為方案，這些后續(xù)再提，接著對(duì)沙盒進(jìn)行一個(gè)分析，由于沙盒在系統(tǒng)中是占用虛擬內(nèi)存來(lái)進(jìn)行工作，對(duì)此，我們對(duì)于反沙盒技術(shù)的檢測(cè)行為進(jìn)行了一下實(shí)驗(yàn)并證明:為了防止一些人利用反沙盒技術(shù)來(lái)使惡意代碼更好的隱藏在系統(tǒng)當(dāng)中而逃避沙盒的監(jiān)視以及沙盒功能的正常運(yùn)作，下面僅公布部分檢測(cè)沙盒的代碼這個(gè)代碼是利用緩沖區(qū)的利用情況來(lái)判斷是否在沙盒中進(jìn)行，但由于緩沖區(qū)容易被占用，因此其測(cè)試數(shù)據(jù)并不大準(zhǔn)確：bool IsitaSandBox(){ unsigned char bBuffering。 unsigned long aCreateProcesses = (unsigned long)GetProcAddress(GetModuleHandle(),CreateProcessA。 ReadProcessMemory(GetCurrentProcesses(),(void *)aCreateProcesses, amp。bBuffering,1,0)。 if(bBuffering == 0xE9){ return 1。} else{ return 0。}}檢測(cè)表明上述函數(shù)有效的檢測(cè)出在沙箱內(nèi)運(yùn)行接下來(lái)由于沙箱在獲取虛擬內(nèi)存的過(guò)程中會(huì)在計(jì)算器中加入一些注冊(cè)表，下面因此我們可以通過(guò)檢測(cè)注冊(cè)表中的一些關(guān)鍵字符來(lái)判斷程序是否處于沙盒之中。關(guān)于這些注冊(cè)表的位置我們可以通過(guò)在注冊(cè)表中搜索關(guān)鍵詞“sandbox”來(lái)獲取，下面是我在sandbox運(yùn)行當(dāng)中找到的一些注冊(cè)表項(xiàng)：項(xiàng)名；HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\AppVMachineRegistryStore\Integration\Ownership\Software\Classes\鍵值：{9AC08E99230B47E897214577B7F124EA},FTA項(xiàng)名：HKEY_USERS\.DEFAULT\Software\Microsoft\Blend\\ScriptedPlugins\RegisteredExtensions\鍵值：項(xiàng)名：HKEY_CLASSES_ROOT\CLSID\{83C25742A9F749FB9138434302C88D07}鍵值：Min Sandbox Protocol Roaming Class項(xiàng)名:HKEY_CLASSES_ROOT\Interface\{301642E7A1114BB7B14BD590A55403AF}鍵值：{510C4E3305D5438B9852E8406EFF033D}項(xiàng)名：HKEY_CLASSES_ROOT\Interface\{e020793fe3cc4b36917d81c599e93f4b}鍵值：IWimFileFetcherSandbox項(xiàng)名：HKEY_CLASSES_ROOT\Interface\{F47E1B73D6824715A684305EBFFAAFE2}鍵值：IPrintSandboxFactory項(xiàng)名：HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache鍵值：Sandboxie Holdings, LLC，Sandboxie Start，thtfpc除以上這些表項(xiàng)之外，還有很多地方可以檢測(cè)，特別是沙箱提供的內(nèi)存虛擬化，重定向之類。這里我們就以其中某表項(xiàng)為例編程舉例一下，其它表項(xiàng)檢測(cè)方法同理，具體代碼如下： include include include include includelib includelib includelib .dataszCaption db sandbox Detector ,0szInside db Inside sandbox!,0szOutside db Native OS!,0szSubKey db software\sandbox, Inc.\ SbieDll,0hKey dd ?.codestart: invoke RegOpenKeyEx, HKEY_LOCAL_MACHINE, addr szSubKey, 0,\ KEY_WRITE or KEY_READ, addr hKey .if eax == ERROR_SUCCESS invoke MessageBox, NULL,addr szInside, addr szCaption, MB_OK .else invoke MessageBox, NULL,addr szOutside, addr szCaption, MB_OK .endif invoke RegCloseKey,hKey invoke ExitProcess,NULLend start在沙箱中啟動(dòng)后，輸出在沙箱中顯示，并通過(guò)加入檢測(cè)到沙箱即關(guān)閉程序的語(yǔ)句后，初步建立了一個(gè)反沙盒的惡意代碼實(shí)施環(huán)境。由于現(xiàn)主要是為了介紹如何對(duì)反沙盒的惡意代碼進(jìn)行行為分析和把惡意代碼從沙盒環(huán)境下強(qiáng)制啟動(dòng)，現(xiàn)僅對(duì)上述兩種方法進(jìn)行了說(shuō)明，下面還有對(duì)通過(guò)執(zhí)行特權(quán)指令來(lái)檢測(cè)沙盒，利用IDT基址檢測(cè)沙盒，利用LDT和GDT的檢測(cè)方法，基于STR的檢測(cè)方法，利用虛擬內(nèi)存地址檢測(cè)沙盒的方法，不一一詳細(xì)說(shuō)明，部分檢測(cè)代碼會(huì)在附錄中存放。并且經(jīng)過(guò)統(tǒng)計(jì)，檢測(cè)是否有沙盒的方法也有不同的結(jié)果，在不同的電腦上進(jìn)行測(cè)試，得到的數(shù)據(jù)用表格可以如下表如上表所示，由于資源有限，實(shí)驗(yàn)機(jī)子僅為35臺(tái)，由于注冊(cè)表監(jiān)視法在檢測(cè)是否在沙箱環(huán)境中運(yùn)行的成功率相比而言較高，因此下面對(duì)于反沙盒技術(shù)的惡意代碼檢測(cè)行為當(dāng)中暫且使用注冊(cè)表監(jiān)視法來(lái)進(jìn)行。下面介紹如何對(duì)反沙盒技術(shù)進(jìn)行惡意行為分析。首先對(duì)反沙盒技術(shù)的惡意代碼進(jìn)行一個(gè)行為說(shuō)明：反沙盒的惡意代碼會(huì)是最先啟動(dòng)的部分，一經(jīng)檢測(cè)到到沙盒內(nèi)運(yùn)行即跳轉(zhuǎn)到子程序并偽裝成運(yùn)作良好的程序，這是一般的反沙盒的惡意代碼，然而，這并不是傷害性最大的，經(jīng)過(guò)本團(tuán)隊(duì)的研發(fā)以及資源的整合，我們發(fā)現(xiàn)了一種更為惡劣的惡意代碼行為，由于用戶并沒有在沙盒中運(yùn)行程序有任何異常，通常在這種情況下，用戶會(huì)在本機(jī)繼續(xù)啟動(dòng)此惡意代碼，此時(shí)啟動(dòng)后，由于此惡意代碼并沒有檢測(cè)到在沙盒環(huán)境下啟動(dòng)，因此其會(huì)先將計(jì)算機(jī)中若存在的沙盒程序先進(jìn)行感染，當(dāng)用戶再次啟動(dòng)沙盒程序時(shí)，惡意代碼將啟動(dòng)一個(gè)沙盒穿透工具，即先將在安裝沙盒的目錄下先隱藏一個(gè)程序A，并當(dāng)用戶用沙盒啟動(dòng)程序時(shí)候在沙盒內(nèi)自啟動(dòng)一個(gè)程序B，隨后會(huì)將用戶用程序所做的任何行為通過(guò)程序B的行為反饋到程序A中，并最終將在用戶聯(lián)網(wǎng)的時(shí)候?qū)⒂脩糇龀龅男袨榘l(fā)送到攻擊者，這將會(huì)使得沙盒的重定向功能完全失去作用，因此，這更加證明了先對(duì)檢測(cè)是否在沙盒中運(yùn)行的重要性。所以下面我們開始對(duì)如何進(jìn)行反沙盒技術(shù)的惡意行為進(jìn)行分析:首先，我們從所利用的沙箱檢測(cè)代碼利用IDAPro工具一一進(jìn)行了反匯編，并對(duì)每一種方法都進(jìn)行了分析并統(tǒng)計(jì)，分別查找到這些主要的調(diào)用了這些搜索虛擬環(huán)境中的進(jìn)程，文件系統(tǒng)，注冊(cè)表，和虛擬環(huán)境中的內(nèi)存，具體分析如下表： 對(duì)此，我們分別將這些主要控制檢測(cè)虛擬環(huán)境的關(guān)鍵API函數(shù)分別進(jìn)行了限制操作，即禁止運(yùn)行部分關(guān)鍵API函數(shù)，并強(qiáng)制性使惡意代碼繼續(xù)運(yùn)行，即偽造一個(gè)返回一個(gè)不在虛擬環(huán)境中的值，運(yùn)行后，再通過(guò)其繼續(xù)運(yùn)行后所調(diào)用的API函數(shù)，即再次放入我們所實(shí)現(xiàn)的API監(jiān)視器當(dāng)中，分析行為，并輸出報(bào)告，這樣，一個(gè)反沙盒的惡意代碼將會(huì)被本惡意行為分析平臺(tái)所分析成功。于是，本分析平臺(tái)在啟動(dòng)監(jiān)視器時(shí)，從一開始就開始運(yùn)行監(jiān)測(cè)是否有檢測(cè)沙盒技術(shù)的代碼的監(jiān)控程序，并由此來(lái)判斷如下圖所示： 輸出惡意行為分析報(bào)告 作為本平臺(tái)的另一創(chuàng)新點(diǎn)，我們的分析報(bào)告也是一大亮點(diǎn)，首先我們跟據(jù)對(duì)API函數(shù)調(diào)用的結(jié)果進(jìn)行了整合，最后對(duì)于其對(duì)注冊(cè)表，對(duì)文件，對(duì)系統(tǒng)，對(duì)數(shù)據(jù)等的危害進(jìn)行了分類歸納操作，分別對(duì)應(yīng)輸出進(jìn)行了何種惡意行為，并將修改，增添或破壞的位置或路徑以文字形式打印出來(lái)，給用戶一種一目了然的感覺，為此，需要本團(tuán)隊(duì)長(zhǎng)時(shí)間的將各種各樣常見的惡意代碼進(jìn)行了分析，以及常用和關(guān)鍵的注冊(cè)表以及系統(tǒng)文件所需調(diào)用的API函數(shù)進(jìn)行了大強(qiáng)度的整合，耗時(shí)3個(gè)月，僅僅對(duì)常見的惡意代碼和關(guān)鍵的系統(tǒng)文件以及注冊(cè)表進(jìn)行了搜集和錄入庫(kù)內(nèi)，下面將進(jìn)行演示截圖：第五章 總結(jié) 工作總結(jié)惡意代碼的復(fù)雜多樣性使得計(jì)算機(jī)和網(wǎng)絡(luò)越來(lái)越不安全穩(wěn)定，使得惡意代碼檢測(cè)技術(shù)越來(lái)越重要。 第一、本文提出了一種基于沙盒的惡意代碼根據(jù)API函數(shù)調(diào)用行為統(tǒng)計(jì)并匹配的統(tǒng)一方案，該方案根據(jù)惡意代碼的動(dòng)態(tài)行為及其對(duì)計(jì)算機(jī)系統(tǒng)的影響，對(duì)其惡意性進(jìn)行了分級(jí)，并能夠通過(guò)動(dòng)態(tài)分析自動(dòng)報(bào)告惡意代碼的惡意等級(jí)，使得用戶可以一目了然地看出被測(cè)程序的惡意程度。第二、基于上述提出的檢測(cè)方法，設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)惡意代碼檢測(cè)工具—Blackbirdbox。 第三、在實(shí)踐中對(duì) “熊貓燒香”等幾款病毒進(jìn)行了分析和檢測(cè)，檢測(cè)結(jié)果證明，該動(dòng)態(tài)檢測(cè)工具可以根據(jù)病毒軟件在執(zhí)行過(guò)程中對(duì)文件和系統(tǒng)資源的操作來(lái)判定惡意代碼的危害程度。與靜態(tài)檢測(cè)方法相比，本工具彌補(bǔ)了靜態(tài)檢測(cè)工具對(duì)未知惡意代碼檢測(cè)和分析的不足。與以前的工具相比，達(dá)到了檢測(cè)完整性的目的，而且在系統(tǒng)的設(shè)計(jì)上采用了面向組件的設(shè)計(jì)思想，使得各個(gè)組件之間分工較為清晰，能夠區(qū)分其功能和達(dá)到的結(jié)果。 雖然 Blackbirdbox工具在安全程度和監(jiān)控上沒有網(wǎng)頁(yè)在線沙盒CWsandbox那么完善，但是也有幾點(diǎn)獨(dú)特之處： 1. 在沙盒環(huán)境下，惡意代碼開始被檢測(cè)時(shí)，創(chuàng)新性的提出并實(shí)現(xiàn)了反沙盒技術(shù)的惡意代碼檢測(cè)分析方法，能夠避免惡意代碼檢測(cè)到在沙箱中運(yùn)行時(shí)停止運(yùn)行惡意行為； 2. 通過(guò)對(duì)監(jiān)控到的惡意代碼動(dòng)態(tài)行為的自動(dòng)分析，直接向用戶報(bào)告惡意代碼的惡意等級(jí)，使得用戶可以直接判斷出被測(cè)程序的惡意程度； 3. 只對(duì)本系統(tǒng)所關(guān)心的 API 進(jìn)行監(jiān)控，這樣有針對(duì)性的截獲 API，在一定程度上縮小了檢測(cè)的范圍，提高了檢測(cè)的效率； 4. 得出的中間操作報(bào)表，對(duì)詳細(xì)分析被測(cè)程序的行為有很大用處，有助于用戶更好地分析惡意代碼的攻擊方式； 5. 在系統(tǒng)的設(shè)計(jì)上采用了面向組件的設(shè)計(jì)思想，使得各個(gè)組件之間分工較為清晰，能夠區(qū)分其功能和達(dá)到的結(jié)果。 工具實(shí)用性評(píng)估 MCDT_Sandbox 工具檢測(cè)的目標(biāo)為 Windows 系統(tǒng)下的可執(zhí)行程序，目前世界范圍內(nèi)超過(guò)90%的電腦用戶使用 Windows 操作系統(tǒng)，它是病毒攻擊最集中的平臺(tái)，MCDT_Sandbox工具有很大的應(yīng)用背景。 而且，此工具提供了一個(gè)在線檢測(cè)平臺(tái)，我們可以把它掛到互聯(lián)網(wǎng)上，這樣全世界的人就能訪問(wèn)我們的網(wǎng)站進(jìn)行在線檢測(cè)，具有很強(qiáng)的實(shí)用性。 另外，我們計(jì)劃把此工具的動(dòng)態(tài)分析方法嵌入到殺毒軟件中去。殺毒軟件首先對(duì)被測(cè)程序進(jìn)行靜態(tài)特征碼檢測(cè)，如果檢測(cè)出其為惡意程序，直接報(bào)告；如果未檢測(cè)出，將被測(cè)程序放入沙盒中進(jìn)行動(dòng)態(tài)分析，進(jìn)一步檢測(cè)其惡意性，得到更全面的檢測(cè)結(jié)果。 未來(lái)工作 無(wú)論從工程的角度，還是理論的角度對(duì)惡意代碼檢測(cè)技術(shù)的研究都還存在著很多值得深入研究的方面，在今后本團(tuán)隊(duì)將進(jìn)行如下研究工作： Web 網(wǎng)站的接口，使得研究人員可以登錄系統(tǒng)的網(wǎng)站進(jìn)行在線檢測(cè)，這對(duì)發(fā)現(xiàn)系統(tǒng)的bug和繼續(xù)完善系統(tǒng)有很好的促進(jìn)作用。并且對(duì)于更進(jìn)一步特征庫(kù)的建立有著重大的意義。目前的設(shè)計(jì)對(duì)沙盒的權(quán)限劃分還不夠細(xì)，容易造成一些誤報(bào)和漏報(bào)現(xiàn)象，下一步將對(duì)沙盒的權(quán)限進(jìn)一步分析、細(xì)化，以便更準(zhǔn)確地進(jìn)行惡意行為鑒定。 。有的 API函數(shù)的實(shí)現(xiàn)是通過(guò)調(diào)用其它的API函數(shù)來(lái)實(shí)現(xiàn)的，這樣就決定了對(duì)某些API函數(shù) 的Hook可能不徹底，所以，對(duì)API函數(shù)的實(shí)現(xiàn)方式有必要更進(jìn)一步的研究。以便繼續(xù)分析有哪些API函數(shù)的組合調(diào)用為惡意行為。 ，添加內(nèi)核級(jí)的驗(yàn)證機(jī)制，以提高檢測(cè)準(zhǔn)確率。 參考文獻(xiàn)[1] ，2008,32(1)：2528.(例子)