针对计算机病毒的动态行为捕获方法技术

技术编号:2819536 阅读:321 留言:0更新日期:2012-04-11 18:40
本发明专利技术公开了一种应用于用来防治计算机病毒的自动化分析系统中的计算机病毒的动态行为捕获方法。该方法通过将API的调用设置为调试事件,由系统内核捕获这个事件后通知调试器;并且通过在指定API调用入口处设置调试断点,捕获程序执行到调试断点便会发生中断事件;然后系统内核通过捕获工具注射一个动态链接库至恶意代码进程空间,用这个动态链接库来分析API的堆栈内容。

【技术实现步骤摘要】

本专利技术涉及计算机病毒防治和数据分析与处理领域,特别涉及一种应用于 用来防治计算机病毒的自动化分析系统中的计算机病毒的动态行为捕获方法。
技术介绍
所谓计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或 者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码; 计算机病毒具有以下几个基本特征(l)潜伏在计算机存储介质及程序中;(2) 当达到一定条件时被激活;(3)对计算机资源具有破坏作用的程序或者指令集 合;就像生物病毒一样,计算机病毒有独特的自我复制能力,它们能把自身附 着在各种类型的文件上,当文件被复制或从一个用户传送到另一个用户时,它 们就随同文件一起蔓延开来。随着计算机软硬件水平的不断发展,近年来,计算机病毒技术也是突飞猛 进,黑客和间谍技术也在不断更新改进,计算机病毒对人类造成的影响也越来 越大;当前,计算机病毒正呈现出传播方式、传播途径以及破坏方式更加多样 化的趋势。据国家计算机病毒应急处理中心综合观察分析认为"目前计算机病毒的 网络化趋势更加明显,病毒的入侵主要来自蠕虫病毒,同时集病毒、黑客、木 马等功能于一身综合型病毒不断涌现",计算机病毒表现出以下特点传播方 式和途径多样化;病毒的欺骗性日益增强;病毒的传播速度极快;病毒的制作 成本降低;病毒变种增多;病毒难以控制和根治;病毒传播更具有不确定性和 跳跃性;病毒版本自动在线升级和自我保护能力;病毒编制采用了集成方式等。综合上述分析,今后计算机病毒的发展趋势是群发邮件病毒将大量出现; 针对系统漏洞的具有远程控制功能的病毒将越发突出;病毒和垃圾邮件编写者 将不断加强合作;病毒编写者更加年轻化、更有组织性。计算机病毒具有极强 的繁殖感染能力,而因计算机病毒所造成的危害正在加剧,病毒危害主要包括系统崩溃、网络瘫疾、系统设置被修改、电脑使用受限、数据丢失等。 常见的病毒检测方法有以下几种 (1 )特征码技术特征码技术是一种基于对已知病毒分析、查解的反病毒技术。它作为反病 毒技术中最基本的技术被沿用至今,也是到目前为止各类反病毒软件仍普遍采 用的技术。特征码是一串二进制位信息,它能唯一标识某一非法程序,研究人 员通过对非法程序样本的分析,提取出"特征码"写入反病毒软件的特征码库, 通过对用户指定的某个或某几个文件进行扫描,以确定是否包含非法程序的特 征码。特征码技术的优点是检测准确快速、可识别病毒的名称、误报警率低,被 公认为检测已知病毒的最简单、开销较小的方法;其缺点是不能检测新病毒、 捕获已知病毒的特征代码,费用开销大、在网络上效率低,因长时间检索会使 整个网络性能降低。(2) 虚拟机技术虚拟机技术是一种启发式探测未知病毒的反病毒技术。虚拟机技术的主要作用是能够运行一定规则的描述语言;由于病毒的最终判定准则是其复制传染 性,而这个标准是不易被使用和实现的,如果病毒已经传染了才判定它是病毒, 定会给病毒的清除带来麻烦。虚拟机实质是在反病毒系统中设置的一种程序机制,它能在内存中模拟一 个操作系统环境,待查文件在虚拟机上执行,其效果如同物理机。虚拟机实际 是用软件的方法模拟地执行所有的或者设计者关心的CPU指令,营造一个虚 拟的、可观察的、可控制的目标程序运行环境。在处理加壳或变形的木马和蠕虫方面,虚拟机被作为一个比较理想的选 择。虚拟机技术仍需要与传统技术相结合,其本质上的检测判断方法依然是特 征码检査,对于那些经过修改而不是简单的加壳后的恶意软件效果比较有限。(3) 启发式扫描技术 启发式扫描技术是一种基于人工智能领域启发式分析手段的检测技术,启发式扫描能够发现一些应用了已有机制或行为方式的未知病毒。启发式扫描一 般包括静态扫描方式和动态扫描方式两种。启发式扫描是通过分析指令出现的顺序,或特定组合情况等常见病毒的标准特征来决定是否为病毒。静态启发式扫描技术和基于特征码的静态扫描类似,也是静态扫描待测程 序的代码,但不同的是前者査找非法程序的特征码,而后者则査找非法程序的行为,而这些行为是通过某些相应的代码序列来确定的;通过扫描某个待测文 件当中的可执行代码,查找与非法程序行为相对应的代码序列,扫描结束后, 关联所有査找到的序列,并与非法程序的典型行为模式相对照,最终做出判断。静态扫描的优点是这种技术在扫描代码时通过査找某些代码序列,确定 程序是否具有某种类别的病毒的行为,因此,它也具有了检测未知病毒的能力。 它的扫描速度比较快,未知病毒的检出率也比较高。另外,和行为分析技术不 同,它能在代码未运行的情况下,就确定代码的行为并检测非法程序。缺点是: 目前病毒、木马等非法程序的编写者为了让这些程序尽可能地传播和运行,大 都对其作了加密、变形、加壳等处理,那么至少在其未运行的情况下,通常很 难在它的代码当中找到对应于非法程序行为的代码序列。所谓行为分析就是采用一系列的规则定义非法程序,相应地采用另一套规 则定义合法程序,如果某个程序违背了合法程序的某项规则或者符合非法程序 的某项规则,便可判定其非法。与传统的基于特征码的静态扫描技术不同的是,行为分析技术监控并限制 应用程序运行过程中的动态行为,和静态启发式扫描技术相对,它也被称为动 态启发式扫描。某些行为是木马、后门和蠕虫等非法程序的共同行为,但在合 法程序中却比较罕见,也就是说,它们成了非法程序的行为特征,可作为判别 应用程序是否非法的依据或者规则。但是,行为分析技术同样存在以下的不足1、 需要尽可能全面的监控。2、 考虑到软件的实用性,行为分析软件一般不会采用过于复杂的分析算 法, 一般多采用简单加权算法来进行分析。3、 无法应对那些能造成直接破坏的恶意代码。由于行为分析技术具有可检测未知非法程序的特点,所以成为目前反病毒 领域研究的热点。然而,现有的添加了行为分析这一功能模块的软件一般只检 测某些单独的行为项(如修改注册表自启动项、文件关联、IE浏览器的起始页等)。它们所表现出来的工作流程也较为相似,都是通过用户判断来学习对某 一软件的识别。(4)主动防御主动防御技术已被杀毒软件、软件防火墙、HIPS等安全软件广泛采用, 现有的后门木马、Rootkit等恶意软件面临严峻考验。无论传统的恶意软件功能 有多强大隐蔽性有多高,初次安装以及工作时都会被主动防御功能拦截并提示 用户,使其无法正常安装和工作。主动防御的原理主要采用了hook思想,截获系统相关API调用,对相应 的可疑行为进行报警,提示用户做出选择。具体来说,主动防御常用SSDT Hook、 Inline Hook、 Hook Driver Dispatch、 Filter Driver等内核技术,对恶意程 序所需要的各类函数进行挂接,实行函数行为挂接,监控其行为。除了上述几种病毒检测方法和原理,我们通过对大量现有常见病毒的研究 和分析,归纳出常见病毒在安装阶段的两个步骤第一步隐藏程序。通常,病毒程序会被拷贝或者安装到系统目录下,由 于该目录下存在着大量重要的系统文件,病毒程序很难被发现,加之这些文件 的命名往往和系统文件非常相似,更增加了定位这些文件的难度。另外,即使 用户对这些文件产生怀疑,也可能因为担心破坏系统文件而不会轻易修改或者 删除它们。第二步自启动设置,使病毒在一定条件下自动启动运行。这个本文档来自技高网...

【技术保护点】
针对计算机病毒的动态行为捕获方法,其特征在于,包括以下步骤: (1)将API的调用设置为调试事件,由系统内核捕获这个事件后通知调试器; (2)通过在指定API调用入口处设置调试断点,捕获程序执行到调试断点便会发生中断事件; (3)系统内核通过捕获工具注射一个动态链接库至恶意代码进程空间,用这个动态链接库来分析API的堆栈内容。

【技术特征摘要】

【专利技术属性】
技术研发人员:胡永涛沈寒辉肖新光候强黄刚姚静晶
申请(专利权)人:公安部第三研究所
类型:发明
国别省市:31[中国|上海]

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1