《程序行为记录与跟踪》由会员分享,可在线阅读,更多相关《程序行为记录与跟踪(6页珍藏版)》请在金锄头文库上搜索。
1、 程序行程序行为记录为记录与跟踪与跟踪在安全网上逛的时候,突然发现一篇很好的文章!详细阐述了当前流行的api hook技术,rootkit技术和主动防御技术,涉及到深入的操作系统知识,需要一定的功底才能看懂 ,真的很不错,可以说是一篇难得的教程!现摘选如下:一. 黑匣子的原理对于一般用户而言,一个程序从开始运行直到结束,这期间内都做过什么,并不是我们需要关心 的事情,他们只要听到播放器里的音乐、看到电影画面、和远方的朋友用通讯工具聊天就可以了 ,有谁会去关心从用户点击播放器程序图标到音乐响起的时间里,这个程序具体做了什么事情 呢?然而,如果面对的程序是恶意软件之流,用户就不得不关心一下它到底对
2、自己的计算机造 成什么影响了。程序在运行期间所进行的操作被称为“程序行为”(Action),一般泛指程序进行的相对表现较明 显的操作,例如创建读写文件、访问注册表、连接网络等,而在这些操作之外做的程序内部运算 、判断、逻辑等操作并不是我们需要关心的,除非是对它进行复杂的分析如逆向工程。对程序行 为进行监视记录的过程就是“跟踪”(Tracing),如果要进一步深入,则要使用调试器(Debugger) 环境进行汇编级的指令分析,这就是“调试”(Debugging),也可视为更全面的跟踪,因为调试过 程可观察到整个程序里的运算和每一步过程。也许很多用户会觉得,这些复杂技术距离我们很远,甚至会想像为需
3、要复杂设备和程序才能完 成,其实,这些技术的应用范围,一直就在我们身边。如果你正在使用一款防毒产品,那么你系 统里执行的程序就已经处于被记录行为的状态了;如果你使用HIPS产品,就会更强烈的感受到 程序运行被监视着;如果你正在使用调试器,那就不用我说了吧在Windows系统里,至少有三种技术可以实现程序行为的记录,甚至控制程序的某些行为,分别 是“虚拟机”(VM)、“API钩子”(API Hooking)和“API跟踪”(API Tracing)。应用广泛的虚拟机技术经常提到的虚拟机技术有两种,一种是普遍应用上的虚拟机技术,它是通过软件模拟的具有完 整硬件系统功能的、运行在一个完全隔离环境中的
4、完整计算机系统,此类虚拟机的概念比较广 泛,可以是一种使用软件模拟一个完整的计算机硬件环境技术如VMWare,也可以是介于硬件和 编译程序之间的交互介质,如Java虚拟机等;另一种则是反病毒产品中使用的“通用解密器”技术 ,为了检测一些复杂或者代码加密的病毒,杀毒引擎必须让它运行起来以便自我暴露危险程序 行为,但是如果病毒真的在用户计算机里运行了,就违背反病毒产品的初衷了,因此反病毒产品 也采取了一种虚拟环境检测方法,这就是虚拟机技术,但是这个技术并非是为病毒提供一套计 算机仿真系统,这样就太庞大复杂和消耗资源了,这种虚拟机是指杀毒引擎模拟出一个仿真CP U,这个“CPU”具备和真正CPU等同
5、的指令分析功能,杀毒引擎将待检测的程序代码读入“CPU” 中逐条指令循环执行,直到出现特定情况才结束工作,在这个过程中探知程序是否具备病毒行为特征或者暴露出病毒特征码。这就是杀毒引擎的“虚拟机技术”,它的目的就是让程序文件在 没有实际运行的情况下得到运行后的结果。无论是哪种虚拟机技术,它们都能记录和解释程序的每一步执行过程,否则将无法正常运行程 序,这也就说明,程序行为是可以被记录的,只是一般不会提供用户查看的接口。在恶意软件检 测工作上,虚拟机技术可以帮助安全人员在不会真正让自己感染病毒的环境下放心的运行恶意 程序,从而通过其他手段记录程序行为,普通用户也可通过虚拟机技术来保护自己的系统免受
6、 各种恶意软件的攻击,在虚拟环境中执行的程序,所做的一切改动都不会影响到真实的系统,所 以用户要理清这个概念,避免不必要的损失,例如现在流行的影子系统(Shadow),它是通过在 应用层上虚拟出一个目前的系统环境,所有的操作都没有写入真正的磁盘文件上,从而保证用 户在上网时无论遭遇什么后门病毒,重启后都不会存在,最终实现了绝对安全的系统环境。然而 ,如果用户对它的机制不够了解,单纯认为它只是用来防范病毒,那就大错特错了,如果一个职 员为了系统安全而使用全保护模式的影子系统,然后她又把公司的工作任务直接在电脑上完成 并保存,那么重启后,她将会发现这一天的努力全化作了泡影!其实非蠕虫性质的网络入侵
7、突 破点通常只有几个,如浏览器、即时通讯程序、邮件等,那么我们只要单纯把这几个程序放入虚 拟环境中,就不需要把整个系统都变成影子来防范了,这个技术被称为“沙箱”(Sandbox),与影 子系统相似,它也是一种虚拟机环境,但是它仅仅为用户指定的程序提供虚拟作用,而不是整个 系统,这样一来,有虚拟机需求的用户就不用担心自己辛苦撰写的文件由于一次习惯性的疏忽 而丢失了。充满钩子的世界API Hooking钩子技术在Windows系统中的作用与重要性我在这里就不再复述了,尤其从早期rootkit技术开 始,这些钩子就伸向了更底层的系统内核中,从而获得了突破一切传统木马与病毒的权限,而后 ,大量的恶意软
8、件纷纷向底层靠拢,到今天为止,一般用户已经无法通过简单的删除某个目录某 个文件的方法来达到把一些软件扫地出门的效果了。如果要一个用户谈及对恶意软件的感受,他的第一想法一定是“无法删除和卸载”;如果他被告知 自己机器上还存在着rootkit后门,他的反应一定是不相信,因为他“安装着最新的杀毒软件”,如 果这个用户对系统只有一些使用经验,那么他会发现任务管理器里没看到什么奇怪的进程,所 以他仍然会认为自己系统是安全的。造成这些现象的原因是什么呢?因为这些恶意程序使用的交互接口,并非Ring 3用户层上的标准Win32 API,而是通过各种手段如驱动程序进入到Ring 0内核层的Native API
9、。“Native API”(原生API)是Windows NT架构系统中真正工作的API,众所周知,Windows是一个通过大量API函数来实现程序功能的 系统,然而,由于Windows是支持POSIX标准(可移植操作系统接口,Portable Operating System Interface)的系统,这就意味着,它除了能运行标准Windows平台程序(即Win32程序)以外,还支 持少量其他平台上的程序运行,如OS/2。由于不同平台的程序功能实现方法差异,系统就必须分 别为它支持的各个符合POSIX标准的程序提供相应的接口函数,如果根据这个思路去开发一套 庞大而完整的接口函数调用,那就太
10、不切实际了,于是,在NT架构系统上,开发者设计了两种不 同性质的API接口层,一种被称为“用户态API”,它包括常见的Win32 API和POSIX接口API等,这些API运行在Ring3用户层上,构成了今天的Windows世界;而另一种是被称为“Native”性质的API,它们才是真正的系统API,通常运行在内核态上,实现真正的系统 核心功能调用。同时为了实现POSIX,开发者还设计了被称为“子系统”(Sub System)的技术来将不同的系统环境区别开来,正常情况下,从系统引导到桌面时,我们就处于“ Win32”子系统下,这时候起到作用的自然就是Win32 API。普通程序员平时接触到的几
11、千个Win32 API,实际上都是通过几百个Native API的不同封装形式来实现的。系统厂商极少提供这些API的公开文档,是因为它们要比一般的 函数难以应用而且可能发生变化,当程序员使用Win32 API时,最终的执行过程是在系统经过兼容性检查、错误处理、参数选项分离等一系列复杂转换 后,才送入Native API进行处理的,Native API才是真正执行并反馈运行结果的主体,用户层的API调用只是一种封装形式罢了,例如fopen 和CreateFile这两个Win32函数,它们的真正执行函数是Native性质的NtCreateFile,这就是rootkit 可以让一般的进程工具不能发现
12、自己的原因,因为它直接干涉了Native API的执行结果。因为API还有这样复杂的故事,所以现在的恶意程序纷纷为了能最大限度提升自己的权限而变 身rootkit性质程序,去“钩”这些原生API,而达到同等层次的安全检测工具和反病毒产品,也为 了达到同样的效果而做了同样的事情,到了这个地步,安全产品和恶意软件在执行过程中已经 没有区别了,唯一的区别是对用户和系统环境造成的后果差异而已,就如杀人犯和外科医生都 通过把刀插入病人的身体以达到各自的目的,只不过一个是在杀人,一个是在救人,仅此而已。既然大家都要控制到原生API层,那么他们的做法有没有共同点呢?答案是一定的,Windows作 为一个规范
13、的系统,就必须在原生API和用户层API之间存在一个标准的接口来实现数据传递, 并限制用户使用其他不知名的操作来达到目的,这个接口由一个名为“ntdll.dll”的动态链接库文 件负责,所有用户层API的处理都是调用这个DLL文件中的相关API入口实现的,但它只是一个 提供从用户层跳转到内核层的接口,它并不是最终执行体。当API调用被转换为ntdll内的相关AP I函数后,系统就会在一个被称为“SSDT”(System Service Descriptor Table,系统服务描述符表)的数据表里查找这个API的位置,然后真正的调用它,这时候执行的A PI就是真正的原生API了,它们是位于NT
14、系统真正内核程序ntoskrnl.exe里的函数。这一过程,就 是系统服务的调用,例如外壳程序需要运行一个新的进程,那么它就会调用kernel32.dll导出的A PI函数CreateProcess,接下来就是kernel32.dll内的执行过程,实际上它只是把这个请求又包装了 一下,变形为自己发出的参数,去调用ntdll.dll里导出的NtCreateProcess函数,然后ntdll.dll通过一 个中断请求int 21h(Sysenter)进入内核态,并把我们最初的新建进程请求转换为“服务号”一起传递过去,到了 内核的世界里,在正常手段下对API的调用都需要先通过一个函数地址描述表的转变
15、来实现,SS DT就是这个表,它记录了一个庞大的地址索引,内容为几百个原生API在内核中导出的地址位 置,除此之外还有一些有用的其他信息,在这个例子里,系统根据SSDT里记录的服务号与函数 对应关系来确认我们要使用什么函数,以及这个函数在内核中的位置信息,最终实现功能调用, 函数执行完毕后再把结果通过ntdll接口一层层传递回去,直到发出请求的程序收到一个表示处 理结果的状态代码,这一次系统服务的调用过程就结束了。由于上述原理,杀人犯和外科医生都会优先考虑把SSDT的内容给篡改以达到效果,简单的说, 例如一个恶意程序把SSDT里对于获取进程标识的服务号对应的原生API地址修改为指向自己位 于R
16、ing0层的驱动入口,那么每次系统执行到这个函数时,都会由于SSDT的错误引导而进入了 作者指定的服务模块中,就会导致相关的操作请求和参数被这个第三方模块记录和篡改,于是各种奇怪的现象就会发生了,就拿隐藏自身进程的rootkit技术来说,其原理就在于通过篡改SSD T里枚举进程的原生API服务号先指向自己的模块,再由自己的模块另行传递到真正的系统服务 上(如果没有这一步操作或者操作错误,那么这个对应的系统服务就会作废甚至引发系统崩溃) ,并对真正的系统服务返回的数据进行加工处理,如删除带有自己进程名的数据,那么最终返回 的数据里自然就“看不到”这个进程了。正因如此,掌握了SSDT监控的程序便具备了比较有效的程序行为记录功能,这类程序的特点是 钩住了大量的原生API,甚至某些HIPS系统如SSM等,更是把几乎所有SSDT里的地址全部改向 了自己的模块,从而实现对所谓“危险”API的拦截,所以HIPS类防护工具在国外也被称为“程序 动作拦截器”,由于它把自己置于用户程序和系统服务的中间,它就具备了监
