您的位置: 网界网 > 安全 > 正文

如何应对恶意软件新技术(四)

2011年12月01日 20:50:08 | 作者:茫然 | 来源:TechTarget中国  | 查看本文手机版

摘要:本文介绍了恶意软件作者如何检测虚拟测试环境,利用JavaScript的模糊代码,以及反恶意软件分析师的应对策略。

标签
恶意软件
反恶意软件
虚拟测试环境

恶意代码的编写者需要知道用来对付自己的各种工具。攻击者逃避逆向工程的最好的一种方法是使恶意代码执行一些类似于突破或破坏反恶意工具的操作。我们将看一下恶意软件作者如何使安全分析工具变成“睁眼瞎”。

检测虚拟测试环境

反恶意软件的研究者在过去几年中广泛使用的工具之一就是虚拟化。在虚拟环境中执行恶意软件的分析有很多好处,包括:易于维护多个虚拟机(配置不同的操作系统和补丁等级),使用快照/复位机制等。

对此,恶意软件的作者们也开始准备应对,已经开始检测虚拟化,进而调整其行为,或者拒绝运行(如果检测到了虚拟机,恶意代码就会拒绝解包)等。

对于反恶意软件的厂商来说,最好的方法是使用自己私有的虚拟化机制,以此作为一种避免虚拟机检测的方式。

JavaScript的模糊代码

在过去的几年中,将JavaScript的模糊代码用于对浏览器的攻击已经成为一种魔法。随着安全厂商强化其自动分析Web威胁的技术(例如,使用脱机的签名开发),恶意软件厂商也日益使用智能技术来粉碎这种分析。

下面我们分析安全分析师如何破解JavaScript模糊代码,以及恶意软件作者如何应对。

正邪较量

以前,反恶意软件的分析师无需费很大劲就可以找出模糊的JavaScript代码。例如,在下面的例子中,可以找到多行模糊化的JavaScript部分。分析师解码这些部分的诀窍,就是允许脚本将模糊化的代码解码为变量“txt”,然后再用其它的东西来替换“eval(txt)”。反病毒的厂商们能够快速地开发出自动分析工具来对付这种模糊代码。

问题在于,分析师必须在执行代码并捕获它之前就对解码部分做出改变。而恶意软件的作者对这个漏洞会迅速做出响应。

例如,依赖于JavaScript的内部特性(+微信关注网络世界),恶意代码的作者能够将解码函数自身的特性用作解码过程的一部分,所以对解码函数的任何变更都会使其停止运行。自查是某些编程语言的特性,即潜在地具有修改用此语言编写的软件的能力。在JavaScript中,解码函数能够检查其自身的字符长度,甚至可以用这个值作为解码算法的一部分,所以对调整其长度功能的任何改变都会破坏其解码的能力。此外,脚本还可以利用更广泛的自查功能来监视对其自身的修改。

下文还将讨论其它恶意软件技术,如干扰调试等。

[责任编辑:网络安全 lin_hongji@cnw.com.cn]