恶意代码攻击原理

借鉴论文 - 恶意代码原理剖析

1.渗透技术

渗透技术的任务是保证恶意代码能够植入到目标主机中，可以通过如下方式：感染可执行程序、分区表和数据文件(如：宏通过移动介质；通过人、社会工程方式；借助于系统和软件漏洞；通过电子邮件、Web网站和网页、P2P文件共享、即时通信工具和ARP欺骗方式等。

2.自启动技术

自启动技术的任务是保证恶意代码在受害主机下一次开机启动后也被激活。方法有：通过服务启动、通过添加注册表启动项启动、通过文件关联启动、通过修改系统配置文件启动、作为其他程序插件启动、通过文件绑定方式启动六种。

3.自我保护技术

自我保护技术是使常用的检测工具无法检测到恶意代码的存在，或者即使检测到存在也无法对代码进行分析和清除。通过自我保护技术可以延长恶意代码的生命周期，使其入侵的范围和破坏程度增大，自我保护技术可分为三大类：

反静态分析：

(1)自身隐藏在注册表、重要文件或系统文件夹等隐蔽性很强的位置，躲避反恶意代码软件的检测。

(2)加壳／多态技术：通过一系列数学运算，将病毒代码或动态链接库进行压缩或加密，以达到体积变小和加密的目的，有的恶意代码甚至使用不同的加壳软件进行多次加壳或使用随机密码进行加密，使加壳前后的恶意代码各不相同，使反恶意代码软件无法通过特征码识别，从而加大恶意代码分析的难度。

(3)变形：恶意代码传播到目标后，其代码本身或结构在空间上、时间上具有不同的变化，使同一种恶意代码不同个体各不相同。恶意代码变形发展有四个阶段，在这四个阶段当中加密病毒阶段、单变形和准变形阶段都是恶意代码在结构或相对位置进行变换基础上使用了加密技术，而全变形阶段实现了恶意代码真正意义上的变形，无论代码本身还是代码结构都有变化，使它的变体之间都各不相同。

反动态追踪：

(1)进程隐蔽技术

①线程插入：是将要实现的功能程序做成一个线程，并将此线程插入到合法进程中，使之作为此进程的一个线程来运行。

②写入动态连接库：把任务代码写入动态连接库文件（DLL）中，并把这个动态连接库装载进合法的目标进程当中，当目标进程执行时，会调用该动态连接库执行恶意代码设定的任务。

③操作系统是由内核(kernel)和外壳(shell)两部分组成的，Windows操作系统内核运行于ring 0级，通常被称为核心级，拥有最完全最底层的管理功能，负责一切实际的工作，包括cpu任务调度、内存分配管理、设备管理、文件操作等；外壳运行于ring 3级，通常被称为用户级，是基于内核提供的交互功能而存在的界面，它负责指令传递和解释。用户级Rootkit：API函数是WINDOWS提供给应用程序与操作系统的接口，运行于rin93级，为了实现系统服务钩挂，可以修改API导出的函数，插入跳转指令，使之执行某个特定函数后转回，也可以禁止原函数的调用。核心级Rootkit：代码控制权限达到和内核一样的运行级别，甚至进入内核空间，拥有了和内核一样的访问权限，因而可以对内核指令进行修改，甚至篡改API，这样用户级检测无法发现内核操作被拦截。

④阻止或监控系统对进程的检测，以此来避开检测。

(2)动态端口：目前，大多数杀毒软件通过在系统中搜索被打开的端口号，并与已知的恶意代码的特征端口号加以比较来判断是否有恶意代码正在活动。这种方法对付使用静态端口号的恶意代码十分有效，但是新出现的一些恶意代码为了躲避反恶意代码软件的检测，使用了一种动态端口号技术，这种技术允许恶意代码的使用者自行指定工作端口号，这就使静态检测端口号的方法无法有效检测出。

反制

为了对抗反恶意代码软件，有的恶意代码首先***对反恶意代码软件系统进行攻击***，使反恶意代码软件无法正常运行或使特征库无法更新。

4.隐蔽通信

(1)直接使用套接字(socket)进行通讯控制。一种方式是服务器端侦听，客户端连接，这种通讯方式不但容易被发现某一端口被一可执行文件侦听，并且当客户端连接到服务器端时，很容易引起防火墙报警。但这种通讯方式要求服务器端必须具有合法的全局IP地址，这也在很大程度上限制了恶意代码的活动范围。另一种方式是客户端侦听，服务器端连接，当服务器端去连接客户端还是要引起防火墙报警，可以通过线程注入的方式解决。

(2)隐蔽通道是为了和恶意软件进行通讯，攻击者必须建立一条非常隐蔽的通信通道。为此，攻击者常常将通讯端口建立在一些非常常用的通信协议端口上，像HTTPS或者SSH***。

(3)ICMP隧道，利用ICMP ECHO和ICMP ECHOREPLY两种报文，因为这两种报文中数据段很少被检查，而且ICMP协议不涉及到端口的概念*。从而使得木马在不开端口的情况下就可以进行通行，加强了木马的隐蔽性。

(4)使用第三方交互服务进行通讯，所谓第三方交互通讯服务是指能够提供信息收发和临时存储的服务，常用的有email和即时通讯服务，比如IRC等，这种方式和协议隧道技术非常相近，不同的是，它不需要控制者自己提供控制服务，而是直接使用其他服务提供商提供的服务，因此这技术能够从更大程度上保护控制者。

(5)通过ARP欺骗或DHCP欺骗等网络代理木马欺骗方式。

5.攻击技术

攻击技术是指一切试图跨越系统安全边界危害受害主机的可用性、可靠性、数据完整性、或者消耗受害主机的系统资源以及利用受害主机危害他人的所有行为。归纳起来，主要包括拒绝服务攻击、信息窃取、数据破坏、修改系统配置等四个方面。