第3章 恶意代码环境

作者: Peter Szor 出处:机械工业出版社 　2007-07-16 10:56　   砖    好    评论  条 　进入论坛

阅读提示：本书由Symantec首席反病毒研究员执笔，是讲述现代病毒威胁、防御技术和分析工具的权威指南。作者系统地讲述了反病毒技术的方方面面，包括病毒行为、病毒分类、保护策略、反病毒技术及蠕虫拦截技术等。本文介绍的是恶意代码环境。

第3章恶意代码环境
“自然万物都有其非凡之处。”
—亚里士多德
为了深刻地理解计算机病毒，最重要的步骤之一就是要了解病毒执行所需要的特定执行环境。理论上，对于任何给定的符号序列，我们都可以定义一个环境，该序列可以在其中进行自我复制。在实际操作中，我们必须能够找到这样的环境，在此环境中符号序列可以执行，并证明它的确利用自身的代码进行自我复制，并且可以递归地复制下去[1]。
只有当恶意代码所依赖的各种条件与可能的环境相匹配的时候，病毒代码才能够成功地渗透系统。图3-1是恶意代码常见环境的不太完美的图示。完美的图表是很难用二维的形式画出来的。

图3-1 恶意代码的常见环境

由图3-1可见，Microsoft Office本身就为恶意代码从Mac到PC创建了同构的环境。但是，并非所有在PC上可以“繁殖”的宏病毒[2]都可以在Mac上“繁殖”，因为还需要其他的依赖条件。
每一层都可以为恶意代码创建新的依赖条件（例如漏洞）。有趣的是，由于.NET在多种操作系统（如Linux）上开发，它会改变这些平台的依赖特性，并使计算机病毒可以轻易地跨越多个操作系统。想像一下，在图3-1中每一圈中都有小的洞穿过，当所有圈上的洞与病毒代码项匹配并且所有的依赖条件都满足的时候，病毒代码就可以成功地感染该系统。
由图3-1可知，病毒的研究经历多年之后，已经变得相当困难了。随着众多的平台被病毒代码成功地侵入，与恶意代码之间的斗争也变得越来越难了。
请注意我并不是说病毒必须利用系统的漏洞，可利用的漏洞仅仅是众多例子中可能需要的依赖条件之一。
因为多种环境依赖的问题，恶意代码分析的自动化技术也已经变得日益困难了。这种现象并不少见：在实验环境中花费了很长的时间对某个病毒进行研究，试图使该病毒进行自然地自我复制（研究人员分析病毒的手段。—译者注），未获成功；但是已经有报告说，这种病毒已经在世界范围内感染了数百个甚至是数千个系统。
另外有些病毒是非常失败的，以至于研究人员从未能够成功地使它们进行复制。IBM研究院（IBM Research）的Steve White在一次报告会上说，他可以给在场所有的听众每人一个Whale病毒（“病毒之母”）的拷贝，而该病毒仍然不能进行复制[3]。然而，最终证实，Whale依赖于早期的8088体系结构[4]，在这一体系结构的计算机上，Whale病毒可以很好地进行复制。更有意思的是，这一依赖关系在“奔腾”（Pentium）和后来的处理器上消失了[5]。因此，Whale，这个曾经被认为是“正在走向灭绝的恐龙”[6]，在理论上是可以通过类似“侏罗纪公园”的方式重新复活。
病毒研究人员面对的最大挑战之一是要识别出病毒的类型、格式和代码序列，并且找出病毒的依赖环境。研究人员只有依照病毒环境的规则才能对病毒代码进行分析，并且证明这一代码序列在这一环境中是恶意的。
多年来，病毒已经出现在众多的平台上，包括Apple II、C64、Atari ST、Amiga、PC以及Macintosh，还有大型机系统以及掌上系统，如PalmPilot[7]、Symbian手机和Pocket PC。然而，最大数量的计算机病毒还是存在于IBM PC及其兼容机上。
这章将讨论计算机病毒进行复制所依赖的最重要的一些因素。本章还将展示在病毒代码与其依赖环境的相互作用过程中，计算机病毒是如何意外地进行进化、退化以及变异的。

回书目   上一节   下一节