深入解說回避檢測的惡意軟件的機制

多數(shù)惡意軟件的開發(fā)者，為編寫復雜的代碼花費了很多的時間與精力。他們的成功，作為威脅長期未被檢測出，能夠規(guī)避于沙盒的解析、反病毒對策、以及惡意軟件的解析人員。該文章主要介紹了回避檢測的惡意軟件的機制。惡意軟件若容易被檢測到的話，便沒有了使數(shù)據(jù)盜取影響較大化的時間。IT安全市場逐漸成熟，現(xiàn)在的安全對策工具和應用程序的性能都非常高。但是，攻擊者了解安全工具的運作并持續(xù)監(jiān)視。另外，企業(yè)和組織也不一定做到較佳的安全級別。惡意軟件對策工具沒有及時更新的情況有很多，也存在因沙盒設置錯誤造成易被檢測的情況。惡意軟件自身的防御功能惡意軟件為了回避檢測和解析利用了多種機制。機制的技術大致分為以下三大類別。防病毒工具：為了回避病毒對策、防火墻、保護環(huán)境的其他工具的檢測而被使用。防病毒沙盒：進行自動解析功能的檢測，為回避惡意軟件的動向報告引擎而被使用。反病毒分析：檢測惡意軟件的解析者，為詐騙而被使用。例如，為了回避反向工程，在檢測Process Explore、Wireshark等監(jiān)視工具的同時，利用一些過程監(jiān)視的手法、Packer等。這三類都共同的惡意軟件技術也有幾個。使用RunPE等的技術的話，惡意軟件可以回避病毒對策軟件、沙盒、以及解析者。沙盒的回避沙盒是迅速檢測惡意軟件的有效工具，但是不適當?shù)貥嫵傻脑挘炊鴷粣阂廛浖唵蔚貦z測出來。惡意軟件通常需要實施以下幾點基本的檢查。MAC地址的檢測：VMware、Box等虛擬環(huán)境中已知的MAC地址被使用。該地址是經(jīng)常保存至注冊表的以下地方（HKEYLOCALMACHINESYSTEMCurrentControlSetControlClass-etworkAddress）。惡意軟件可要求registry key 或使用GetAdapterInfo API兩者任選其一的方法檢測MAC地址。過程檢測：惡意軟件可檢測與沙盒相關聯(lián)的動作過程的存在。例如，VmwareService.exe等過程的情況下，使用Create Tapshot API 抓拍動作過程，使API函數(shù)的Process32 First和Process32 Net抓拍的各過程做成一覽表，便于檢測。注冊表的檢測：惡意軟件可檢測的系統(tǒng)注冊表項是在虛擬環(huán)境下制作的。以下的注冊表雖然內(nèi)容并不完整，但是是惡意軟件可能檢測的注冊表項一覽。另外，惡意軟件存在使用以下幾個高技術檢測沙盒的情況。鉤子（Hook）函數(shù)的檢測：鉤子函數(shù)是改變OS和應用程序內(nèi)部函數(shù)行為的基本技術。沙盒是使用鉤子技術進行樣品舉動的變更。例如、在函數(shù)中設置鉤子，惡意軟件會試圖刪除被沙盒捕捉的文件。這類函數(shù)被放置于內(nèi)存上（內(nèi)核空間）的特定地方。惡意軟件也存在通過檢查調(diào)用函數(shù)的地址來檢測鉤子的情況。例如，被返還的地址不存在內(nèi)核中，表明現(xiàn)在該函數(shù)被掛鉤。惡意軟件使用硬件的尺寸檢查和特殊命令等其他手法，可檢測特定的登記。事實上，這些技巧在機器上的注冊是一致化的，在虛擬環(huán)境中需要重新配置。病毒對策的回避病毒對策工具的基本功能是署名、掃描、探索。署名可回避樣品哈希值的變更。這是非常簡單的，只需要變更執(zhí)行文件的1個字節(jié)便可實現(xiàn)。掃描是制作一個大的文件，通過仿真器造成混亂來回避。探索分析是較復雜的，但可通過使背后的函數(shù)掛鉤來回避。惡意軟件為了回避病毒對策工具的其他方法是工具的無效化或者追加例外情況。多態(tài)病毒代碼的檢測是特別困難的。

總結惡意軟件的回避檢測技術持續(xù)進化著，理解這些技術，并在信息安全社區(qū)共享經(jīng)驗是戰(zhàn)勝惡意軟件較有效的方法。轉載自：江蘇國駿提供網(wǎng)絡安全方案：網(wǎng)絡防病毒系統(tǒng)、防火墻UTMVPV入侵防御系統(tǒng)防病毒網(wǎng)關、網(wǎng)站安全防護、內(nèi)網(wǎng)安全管理系統(tǒng)、流量整形、負載均衡、數(shù)據(jù)容災備份等