葉超：云安全支撐技術之本機程序行為判斷技術

相關專題：共建可信任的互聯網 2008瑞星互聯網安全技術大會

圖：瑞星研發部資深反病毒工程師葉超

主持人：大家安靜一下，歡迎大家回來，茶歇之后我們進入下一個題目——智能行為判斷技術之本機程序行為判斷技術，這一部分由瑞星公司研發部資深的反病毒工程師葉超，葉法官給大家做講解。有請葉超。

葉超：今天非常高興，在這邊跟大家一起探討一下技術。今天我要講的是基于行為的惡意代碼檢測系統，這個技術大家都不陌生，這個技術成為我們瑞星安全策略整個實施輔助的資深技術。在講惡意行為檢測系統之前我先講一講傳統的檢測系統，這個從病毒軟件出現就已經有了，首先這個技術是一個靜態的識別技術，然后這個病毒特征碼是來自于什么地方呢？從病毒體內提取的原始數據片斷以及該片斷的位置信息，這個相信大家都很容易理解。病毒特征碼這個技術在這么多年的應用中也有了許多的變化和改進，我列了三點，大家可以看一下，第一個是全自動，就是把病毒中的物質信息給去了，這樣的話，反病掃描器在掃描病毒的時候，會進行一個全方位的搜索，這個好處是當特征碼的位置變換的時候也可以檢測到。但是缺點是相對來說速度慢一點。第二個變化是更多的位置的描述，這個什么意思呢？ 我舉了兩個，一個是基于格式分析和代碼分析。基于格式分析，第一個搞出函數，我可以定義一個導出函數PE3的地方，這是一個位置的描述，這個地方有需要支持我就必須首先做一遍PE的格式，這是位置描述的一點。第二點是代碼分析，我還是舉PE文件，我第三個被調用的函數，偏移三個地方這也是一個位置描述，這個位置描述我們需要怎么樣得到？需要進行一次簡單的代碼分析。所以說這兩點都是特征碼位置方面的變化和改進。第三點是更靈活的數據改進，這就是大家常聽到的廣譜特征。另外還提供了滿足更豐富的數據片斷描述，這就是傳統的技術。這個技術的缺點和優點我們看一下，優點非常明顯的，不然的話也不會被應用于這么多年，這么多產品當中。它的優點第一個是精確，誤報很少，一般情況誤報都是由病毒分析源造成的；第二掃描速度快。缺點呢，第一點我們從病毒特征的來源考慮，提取自病毒體，所以說這就導致了一個缺點是滯后于病毒的出現的，只有有了病毒體、病毒樣本才可以提取病毒碼。第二個，抗特征變化性有限，病毒特征碼其實是原始數據片斷，當這個數據片斷變化的時候，或者說位置變化的時候，雖然有以下的改進可以在一定范圍內控制變化，但是其實在我們這個互聯網病毒時代，其實已經遠遠不夠了。各種各樣的代碼變形，還有重編譯等等等等，都已經導致了特征碼檢測技術越來越吃力。

下面我給大家講一下人類社會的特征碼技術，為什么講這個？我想告訴大家，反病毒這個行業和人類社會定罪什么其實是非常接近的。首先看一下人的指紋技術，指紋技術第一步初犯的時候截取指紋，就像我們發現了一個病毒，截獲它的樣子，然后再犯的時候就可以從指紋庫提取指紋，然后對照一下，確定到底是不是病毒。既然人類社會所運用的技術和我們的反病毒技術如此相近，我們就來看一下人類社會是怎么判罪的，這張圖有五個角色我簡單的講一下，首先在最底下可以看到人和監視器，人可以理解為目擊證人，作用就是搜集信息，這邊是監視器我想大家雖然對公共場所的監視器應該非常熟悉了，連地鐵里都有，都可以看到，這兩個是最底下的，負責搜集信息。搜集到信息會提交給警察機構，警察機構做的事情就是錄口供，破案的時候要找證據這都是搜集和組織證據的過程，最后警察機構對犯罪嫌疑人提起訴訟，移交到法院，法院根據民法或者刑法來判罪。這個就是一個人類社會判罪定罪的大致過程和簡單的模型，可能講的有不太準的地方，但是大致 過程是這樣的這里面最重要的一點就是民法和刑法，就是法怎么樣判出來的不是一樣的，最重要的是法。那么我們就提出一問題，是不是可以給一個程序來判罪呢？答案是肯定的。

那我們要怎么做呢？第一步首先把程序看成一個人，接著就可以制定適用于這些人的法律，必須是適用于這些人的而不是我們人類社會的法律，第三監視這些人的動作，第四把這些動作整理歸納、搜集，最后再根據法律，就是剛才適用于這些人的法律來判定這個人到底是好是壞，過程非常簡單，而且思維的邏輯也非常的簡單。

下面我開始對這個行為分析，就是惡意代碼檢測技術做一個簡單的介紹。首先是定義，將一系列已經定義好的惡意行為進行規范，根據規范監視做了什么，然后再根據這個規范判定是好是壞。我想說一下，其實這個技術并不是什么新技術，因為思考的過程非常簡單的話，這個過程出現的比較早，我相信今天早上大家聽過“云安全”計劃的話，我相信大家都應該已經知道，其實瑞星在01年和03年都有出過基于行為的病毒技術產品。另外，行為分析技術是分析專家判定病毒經驗的應用。

下面我來講一下行為分析的模型，是一個簡單的模型，在這里我把整個行為分析分成了三層：一判定層，二組織層，三監控層。這三層都必須工作于惡意行為庫這個范疇之內，就好象法官判罪，警察搜集證據等等，都必須在法律框架下。這張圖就比較明顯一點了，首先我們看到底下一排是程序，把它畫成了人的樣，離程序最近的是監控層，里面有很多的監控點，再上來一點是組織層，組織層經過了監控層對程序的監視搜集信息，搜集之后要做兩點：一、把相關的程序組成一個團伙——程序的團伙，有團伙之后，必須整理出這個團伙做過的哪些事情，記下來，就是犯罪證據。我們可以看到七個程序，經過監控層和組織層之后組成了三個團伙。最后是判定層，就是法官，他會對這三個團伙分別根據惡意行為庫來判定到底什么過錯。惡意行為庫我們必須把這三層牢牢的控制在惡意行為庫的指導下這三層才能正常的工作，我們不需要去組織沒有用的數據。既然惡意行為庫這么重要，我們就來看一下惡意行為庫怎么制定？惡意行為庫里面最重要的元素——惡意動作和惡意行為，本身是一個病毒分析經驗的應用，因為病毒看到最多的是病毒分析，所以說除了病毒分析專家之外，沒有再合適的人可以做這個人選了，只有病毒分析專家才能記住這個惡意行為。

下面簡單的講一下三層模型中，他們的職能還有實踐時應該注意什么。判定層的職責是將組織層提供的數據和惡意進行比對，判定它是不是惡意行為。我們需要考慮在滿足需求的情況下，惡意行為是如何判定的？這里面我列了兩組，第一個是基于持續或者并重，基于動作的持續，也就是說這個程序做的動作是有先后順序的，或者說沒有先后順序，只要你做了我就認為你是，所以說前者的精確度肯定比后者高。第二是實施判定和事后判定，程序每做一個動作就判定，直到發現你是的時候，就可以結束你。可以做一個行為的阻斷，事后判定是讓你所有程序全部跑完，然后再做抽象的判定。

下面我來講一下組織層，組織層的職能是組織存在國際關系的發起者，記錄其必要的動作信息。我們需要考慮什么呢？首先必須滿足我們的需求，然后在滿足這個需求的情況下怎么樣組織這些動作發起者。在程序創建完以后我們要比對一下創建出來的文件和動作發起者的文件是不是一樣？第二點我們是不是可以把抽象成文件感染？如果說一個程序或者說一個PE文件進行修改，那修改什么？這時候我們可以粗糙的判定為是一個文件感染動作。這是舉兩個例子說明動作怎么加工怎么抽象。

第三點需要記錄什么？把東西記錄下來就是為了找到他曾經干過什么？影響的東西是什么？我們可以把修改的注冊表和其他系統資源記錄下來，這樣好處是我們事后可以進行一個回顧操作。

這邊我對剛才說的以什么方式來組織，三個方式做了比較，可以看一下。我來給大家講一下，首先看這個發起者，我們可以發現木馬和它的伙伴進程，這個就是木馬的輔助進程，這時候如果以這種方式來組織這些動作發起者的話，就和木馬關聯到一塊兒了。以線程的看一下，我們可以看到很多木馬會向正常的系統插入惡意代碼，然后通過遠程線路的方式來啟動這個代碼，這時候如果我們站在進程的角度看的話，沒有任何關系。如果說我們按照通過連接線上的創建，我們可以知道這個線程是誰創建的，我們發現這個線程是木馬創建的，當它做壞事的時候，我們可以找到它，是由木馬發起的，這個就是線程的好處，我可以精確到線程的精確度上面。代碼塊的典型關系是木馬和他安裝的APA鉤子，APA鉤子是被動代碼，它的啟動不依賴于木馬，而是依賴于被他啟動的鉤子。當正常進行一個文件操作的時候就自然而然的進入到APA鉤子，這時候這個APA鉤子代碼執行的時候，它的上下文都是正常進行的PIT還有TIT等等，但是他確實在搞無疑代碼。那么如果我們跟蹤所有代碼塊的流向，我們發現這個惡意代碼的調用是來自這個代碼塊的，我們就可以根據代碼塊從哪里來？反向的追蹤過去就可以找到了，這其實是一個惡意代碼之間的邏輯關系的反追蹤。我想大家聽“云安全”的時候，也注意到了，一個威脅發現的時候，我們去追訴它的來源是非常重要的，可以讓我們提前預防，所以在本機里面有這樣一個讓我們主動去追訴惡意行為的發起者。

下面我們來看一下監控層，監控層的職能是在滿足需求的情況下搜集程序做過什么。三種實踐方式，環境模擬、實施監控、虛擬機和環境模擬，這張圖是進行比較一下，實施監控和環境模擬都是與真實運行，代碼真實的在CPU上面跑，所以說速度是很快的，而虛擬機加環境模擬比較慢一點。實施監控可以完全的跑下來，就是我們平常的跑程序一樣，而環境模擬，虛擬機和環境模擬要看這個環境模擬真實不真實，還要看CPU內存等等模擬的真實不真實。危險性這里面要提醒的是，如果說一個木馬跑起來，實施監控，必然已經對系統造成了影響。那么環境模擬可能是比較危險，因為這個東西總的來說，環境模擬是控制不住代碼的運行的。再看監控力度，實施監控和環境模擬可以定位函數級，就是調用級別，最常用的是APL，虛擬機和環境模擬，可以把監控的力度縮小到指令級，當然函數級也是可以的，復雜度來說，實施監控是最簡單的，環境模擬還有虛擬機加模擬是比較困難的，首先我們要看被模擬的環境還要看我們的需求。比如說DOS這個系統要虛擬出來的話非常簡單，因為里面的工作非常小。但是如果是NT，NT有這么多的APL機構，我們要模擬出來的話是非常困難的，還要看CPU的復雜結構。然后新的指令等等，也要做架構，最終可能就比較困難了。

產品化趨勢，虛擬機加環境模擬可以應用于掃描器，就是動態的掃描病毒。代表技術，實施監控的代表技術就是木馬行為防御，這是采用了實施監控來實現監控行為的。環境模擬代表技術是自動分析技術，這是瑞星用的，對整個Windows系統做了一個橋梁。虛擬機加環境模擬這是DOS檢測，這個技術里面有一個完整的DOS的CPU模擬，還有未知的Windows95是一樣的。

剛才我講的技術的模型以及模型的一般性的實現，那現在看一下這個技術的優缺點，首先講一下優點，其實腳本的行為監控的時候就提到了，優點是檢測率高，最主要的是可以檢測還沒有檢測到的樣本。另外是后期的代價比較小，不像病毒測試碼需要每天升級。所以說后期的維護代價是比較小的。再看看缺點，一他的整個運作方式是依賴于程序的執行的，假如說一個程序的執行是有條件的，好比一個病毒只有星期五的時候才執行，那么其他的時間就不是病毒嗎？是的，但是我不能把星期一到星期五都模擬一遍，所以這個行為技術如果是依賴于程序執行的話，必然會造成一個優化。反病毒行業的基本要求就是精確，不應該把誤報、詢問用戶等等都讓用戶來做，那么在這個基礎上這個缺點已經被放大了，而且可能已經遮住了他所體現出的優點。

我們看一下技術實力，就是瑞星的木馬行為防御，講這個之前，我們首先要明白瑞星的木馬行為防御目的是什么？目的是檢測木馬、蠕蟲等以進程為單位的惡意代碼，發現并組織惡意進程以及相關文件。那么在這種情況下，惡意行為庫這里面有惡意動作和惡意行為，最后一個是自釋放鉤子，木馬起來以后，發現動態庫放一個鉤子進去，然后這個動態庫就自然而然的被加載到游戲進程里面然后就可以盜密碼。有了這些內置以后還有一個可拓展的惡意動作，就是一個正常的程序動作加上一個約束，我們叫自定義特征。我們發現有很多情況下我們無法用內置的動作來對惡意行為進行描述，為什么要加約束呢？其實是這樣的，當我把手伸向一個人的臉的時候有兩種情況一可以慢慢的伸，而很快的伸，慢慢地溫柔地伸的話就是愛護，如果快快的話就是打巴掌了。

惡意行為我們定義為是多個不重復的內置惡意動作和一組有先后順序的擴展惡意動作，這就是惡意行為的描述。然后講一下木馬行為防御的判定層的實現，根據我們的目標，我們的判定是根據進程集進行判定的，為了實現這個，實施比對，我們必須每個進程集合進行配合，然后對內置的惡意動作，我們的命令要求就是發生即可，是采用被動的方式，是順序無關的，而拓展的惡意動作就是順序有關的。

木馬行為防御的組織層的實現，我們把組織層組織動作發起者的時候，我們采用了進程，相關進程。相關進程的關系一是創建關系，二是釋放關系，創建關系是非常好理解，就是天然提供的關系，數字進程。釋放關系是為了彌補創建關系的，我舉一個例子，A點EXE釋放了一個B點EXE，在系統內某個時間B點啟動了，這不是它啟動的，這時候如果光從創建關系來看的話，我們已經丟失了，無法找到A和B的關系，我們只能知道A曾經釋放出來一個文件。第二點在組織實踐的時候，我們把所有的可見層都忽略了，相信沒有木馬起來的時候會特地彈一個截面你中木馬了，所以我們把可見層都忽略了。第三必要時將程序動作加工成惡意動作。

最后來看三層里面的最后一層，監控層，監控層沒有什么可說的，就是有一些傳統的四大監控，文件監控、進程監控、注冊表監控及關鍵API調用監控，如果有了這四個監控整個木馬防御實施起來是非常容易的，沒有一點難度。

下面看一下怎么彌補這個行為分析的缺點的，首先本地白名單是肯定有的，需要廠商來維護做一個定制的升級，用戶可以按照自己的需求往名單里面添加文件。在今年“云安全”策略上來之后，我們又增加了一個基于“云安全”的威脅信息參考認證，這是我覺得作為一個白名單來說最需要的一個特點，就是廣闊的軟件覆蓋面，不管是工業方面的、特殊方面的都可以覆蓋到，只要這些專業領域的人員參與了我們“云安全”，就可以獲得這類軟件的威脅信息參考認證。

我們看看怎么樣揚長？首先把瑞星的木馬防御系統定位，定位為“云安全”輔助支撐技術，可以找到互聯網之間的代碼邏輯關系，木馬行為防御可以找本機內的惡意行為代碼邏輯關系。由于程序分析找到的樣板是經過一次惡意行為判定的，所以就極大的縮小了威脅惡意行為的樣板關系，可以幫我們縮小這個壽命的范圍，不僅能縮小范圍更重要的是提高了質量。另外如果說我們可以程序指定的時候，干了什么事記錄下來，為我們的制作分析系統提供一些預處理，那么我們的制作分析系統，在范圍小、樣板質量高又有依據的情況下，我們就可以獲得更快的響應速度。綜上幾點使木馬行為防御系統有了支撐“云安全”的輔助支撐技術。

看一下未來要做什么？需要實現一個快速虛擬機，因為虛擬機目前來說跑的比較慢，要快速虛擬機的實現是有必要的。另外模擬環境的實現，他們在跑起來的時候，會掉很多無關緊要的API，所以模擬環境的實現也是有必要的。更細力度的信息組織，要修改一些代碼的時候，可能先會把WPV去掉，這只是非常簡單的指令，我們也可以把它說成一個動作，那就是去芯片那寫保護。要實現這樣細的一個東西，就需要一個虛擬機，虛擬機可以攔截到指令級別，就可以分析指令也可以抽象的去做修改API的工作了。

我講完了，謝謝大家！

相關文章: