2010年10月25日 星期一

使用nod32從容面對木馬肆虐

簡要說明:本文通過簡單介紹現在木馬的產生誘因和一些常見木馬的免殺變種方式來介紹當前木馬對個人網上交易活動的安全威脅,再從原理上簡要解析nod32相對於傳統殺毒軟件採用的專有啟髮式技術,基因碼技術,虛擬機技術,代碼分析掃瞄。讓個人計算機通過使用nod32從容面對木馬肆虐。

     隨著遊戲產業,網上購物,證券交易等網上交易活動的越來越廣泛,越來越多的病毒作者加入到了木馬的製作行列中,企圖通過盜取遊戲帳號,銀行帳號,網銀密碼等信息獲得實際收入。由於利益的驅使,各種灰色職業也在網絡上應運而生,比如售賣木馬程序,抓肉雞,售賣各種黑客技術入門教程等五花八門。木馬的病毒也由高深的黑客技術,普及到只會基本的電腦操作知識即可定制自己的木馬。從某安全軟件公司公佈的數據來看,去年一年捕獲的病毒,木馬數量超過了30萬。比如去年到今天相繼爆發的威金,熊貓燒香,灰鴿子,機器狗,磁碟機等木馬,每一次大的病毒爆發,都會有數十萬至百萬電腦受到感染。

       網絡上爆發的病毒數量雖然巨大,但是其中絕大部分是由原本單一的病毒或木馬經過病毒製造者的各種加殼、加花、組裝等手段後成為「變種」再次出現的。而且變種的傳播性、破壞性都更加強大。下面就來針對各種技術做一下簡單介紹。

       加殼,是通過一系列數學運算,將可執行程序文件或DLL文件的代碼進行改變、壓縮、加密驅動等,達到縮小文件體積或加密程序代碼的目的。(常見加殼工具有北斗、aspcak、 upx)。
加花,就是對程序進行彙編指令的改動或添加,讓彙編語句進行一些跳轉。通過這兩種方式,讓殺軟不能正常的判斷病毒文件的構造、執行方式,祈求能夠躲避查殺。

       更改特徵碼,通過一些黑客工具,可以定位到殺毒軟件對某個病毒查殺的依據-----特徵碼。從而對被定位的程序段進行改編,達到躲避查殺的目的。

       傳統的殺毒軟件在面對這些經過改編的木馬時,它們需要再次抓取這些樣本,然後再提取特徵碼,加入到病毒庫,用戶在更新病毒庫之後即可查殺了。目前的問題在於木馬爆發的數量巨大,採用傳統的這種方式一是沒有能力一一進行分析,二是必須等到有用戶感染了病毒,廠商獲取了樣本才可以查殺,週期比較長。三是軟件的病毒庫數量越來越龐大,對系統資源的佔用也越來越大。那麼有什麼好的方法可以避免以上問題呢?

        答案就是啟髮式技術,它能夠智能的根據程序的行為來判斷是否是病毒,並進行查殺。目前業內啟髮式技術應用最成功的當屬ESET NOD32,其啟髮式引擎融合了基因碼技術、虛擬機技術、代碼分析三大技術,構建起立體的防護架構。無論在掃瞄速度還是查殺能力上都獨佔鰲頭。

         所謂基因碼,就是指同一病毒族群中的不同變種,多半含有相同的病毒特徵。不少病毒最初是以單一品種出現,後經由其它病毒作者修改或自行演化,最後變成數十種以上的病毒變種。若以傳統特徵檢測方式處理,病毒數據庫便要為每一種病毒變種製作一份獨立的特徵數據;而較新的基因碼檢測技術,則會從各變種中找出共同之處,包括一些非連續的程序代碼,以此找出同一類型病毒的普遍特徵。

          針對變形病毒、未知病毒等複雜的病毒情況,極少數防病毒軟件採用了虛擬機技術,達到了對未知病毒良好的查殺效果。它實際上是一種可控的,由軟件模擬出來的程序虛擬運行環境。在這一環境中虛擬執行的程序。雖然病毒通過各種方式來躲避防病毒軟件,但是當它運行在虛擬機中時,它並不知道自己的一切行為都在被虛擬機所監控,所以當它在虛擬機中脫去偽裝進行傳染時,就會被虛擬機所發現,如此一來,利用虛擬機技術就可以發現大部分的變形病毒和大量的未知病毒。

          代碼分析掃瞄是通過分析指令出現的順序,或特定組合情況等常見病毒的標準特徵來決定文件是否感染未知病毒。因為病毒要達到感染和破壞的目的,通常的行為都會有一定的特徵,例如讀寫敏感文件,自我刪除、自我複製,獲取操作系統底層權限等等。所以可以根據掃瞄特定的行為或多種行為的組合來判斷一個程序是否是病毒。

          在國際權威機構AV-Comparatives的主動式防護測試(最主要是針對未知病毒及防護能力的測試)中,ESET NOD32的ThreatSense.Net 殺毒引擎均能成功攔截超過 9 成以上的零日攻擊蠕蟲與病毒 (Zero-day worms and virus),表現卓越。引用一位ESET NOD32粉絲的話:「做免殺難,做過ESET NOD32的免殺更難,做過ESET NOD32的免殺DLL文件是難上加難!」。可見不管是病毒、木馬還是其它惡意變種,要想躲過ESET NOD32 防病毒引擎的三道關卡只能一個字形容——難!


沒有留言:

張貼留言