コンピューターウイルスについて話しますか？ いいえ、昨日あなたのアンチウイルスがキャッチしたわけではありません。 別のPhotoshopインストーラーを装ってダウンロードしたわけではありません。 サーバー上にあるrootkit-eについてではなく、システムプロセスとして偽装します。 検索バー、ダウンローダー、その他の変種についてではありません。 あなたに代わって悪いことをして、あなたのお金を欲しがるコードについてではありません。 いいえ、これはすべて商取引であり、ロマンスはありません...



コンピューターウイルスについては、世代ごとに変化する独自のコピーを生成できるコードとして説明します。 生物学的な対応物と同様に、新しい世代のウイルスに命を吹き込むために機能し、機能し続けるファイルキャリアが必要です。 繁殖には肥沃な環境、多くのおいしい実行可能ファイル、およびそれらを実行するための多くの愚かでアクティブなユーザーが必要です。 そのため、「ウイルス」という名前は単に悪意のあるプログラムを説明するための美しいラベルではなく、コンピューターウイルスは、その古典的な意味で、生物学的な対応物に非常に近い存在です。 人類は、何度も証明されているように、特に他の人々に有害な何かを作成することになると、非常に洗練されたソリューションを作成することができます。



そのため、かなり前に、DOSが人々にやって来て、各プログラマーがアドレス空間が同じで、ファイルに対する権利が常にrwxである独自の小さな宇宙を持っていた後、プログラムが自分自身をコピーできるかどうかについて考えが生じました。 「もちろんできます！」プログラマーは言って、自分の実行可能ファイルをコピーするコードを書きました。 次の考えは、「2つのプログラムを1つに統合できるか？」でした。 「もちろんできます！」プログラマーは言って、最初の感染者を書きました。 「しかし、なぜですか？」と彼は考え、これがコンピューターウイルスの時代の始まりでした。 結局のところ、コンピューターをだましてあらゆる方法で検出を回避しようとするのは非常に楽しく、ウイルスを作成することはシステムプログラマーの観点からは非常に興味深いものです。 さらに、市場に登場したアンチウイルスは、ウイルス作成者に彼らのプロ意識に対する重大な挑戦を提供しました。



一般的に、歌詞は記事に十​​分です。ビジネスに取り掛かりましょう。 私は勝つために両方の側で使用される古典的なウイルス、その構造、基本概念、検出方法とアルゴリズムについて話したいです。

ウイルスの解剖学

PEおよびELF形式の実行可能ファイル、つまり本体がx86プラットフォームの実行可能コードであるウイルスに生息するウイルスについて説明します。 さらに、ウイルスがソースファイルを破壊せず、その操作性を完全に維持し、適切な実行可能ファイルに正しく感染するようにします。 はい、破壊ははるかに簡単ですが、適切なウイルスについて話すことに同意しましたか？ 素材を最新の状態に保つために、実行可能なコードを操作するための最初の高度な手法が実行されていたにもかかわらず、古いCOM形式の感染者を確認する時間を無駄にしません。



ウイルスコードの主要部分は、感染者とペイロードです。 Infectorは、感染に適したファイルを検索し、それらにウイルスを注入して、実装の事実をできるだけ隠し、ファイルの機能を損なわないようにするコードです。 ペイロードは、virmakerに実際に必要なアクションを実行するコードです。たとえば、スパム、DoS-itを誰かに送信したり、「Viryaがここにあった」というテキストファイルを単にマシンに残したりします。 内部にペイロードが存在することはまったく考えられません。主なことは、virmakerがその内容を隠すために最善を尽くすことです。



ウイルスコードのプロパティから始めましょう。 コードの実装を簡単にするために、コードとデータを分離したくないため、通常は実行可能コードへのデータの直接統合が使用されます。 さて、例えば、このように：

jmp message the_back: mov eax, 0x4 mov ebx, 0x1 pop ecx ;      «Hello, World» mov edx, 0xF int 0x80 ... message: call the_back ;        «», ..  «Hello, World\n» db "Hello, World!", 0Dh, 0Ah
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

または：

 push 0x68732f2f ; “hs//” push 0x6e69622f ; “nib/” mov ebx, esp ;  ESP    «/bin/sh» mov al, 11 int 0x80
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

特定の条件下では、これらすべてのコードバリアントをメモリにコピーし、最初の命令でJMPを作成できます。 このコードを正しく記述し、正しいオフセット、システムコール、実行前後のスタックのクリーンアップなどを考慮して、他の人のコードとともにバッファ内に埋め込むことができます。



virmakerがこのスタイルでウイルスコードを記述する能力を持ち、既存の実行可能ファイルにそれを埋め込む必要があるとします。 彼は2つのことの世話をする必要があります：

• ウイルスをどこに置きますか？ ウイルスがそこに収まるのに十分なスペースを見つけて、可能であればファイルを壊さずに書き込み、ウイルスが出現する領域でコードの実行が許可されるようにする必要があります。
• 制御をウイルスに移行する方法は？ ウイルスをファイルに入れるだけでは十分ではありません。その本体に移行する必要があり、作業を完了した後、被害者のプログラムに制御を戻します。 または別の順序で、しかし、いずれにしても、私たちは何も壊さないことに同意しましたよね？

したがって、ファイルの実装を理解します。 WindowsおよびLinux上のx86プラットフォームの最新の実行可能形式は、PE（Portable Executable）およびELF（Executable and Linkable Format）です。 システムのドキュメントでそれらの仕様を簡単に見つけることができ、実行可能コードの保護の問題に対処する場合、間違いなく見逃さないでください。 実行可能形式とシステムローダー（実行可能ファイルを実行するオペレーティングシステムコード）は、オペレーティングシステムが置かれている "象"の1つです。 .exeファイルを起動する手順は非常に複雑なアルゴリズム処理であり、多くのニュアンスがあります。このトピックについては、トピックに興味がある場合は間違いなく見つかるはずです。 スタートアッププロセスの基本的な理解に十分な、単純な考慮事項に限定します。 私にトマトを投げつけないために、以降コンパイラーとは、ソースコードを完成した実行可能ファイル、つまり実際にはコンパイラー+リンカーに変えるプログラム全体を意味します。



実行可能ファイル（PEまたはELF）は、ヘッダーと一連のセクションで構成されます。 セクションは、コードまたはデータが配置されたバッファーです（以下を参照）。 ファイルが開始されると、セクションがメモリにコピーされ、メモリが割り当てられます。ディスクを占有する必要はありません。 ヘッダーにはセクションのレイアウトが含まれており、ファイルがディスク上にあるときにセクションがどのようにファイルに配置されるか、ファイル内のコードに制御を移す前にメモリに配置する方法をローダーに伝えます。 各セクションには、psize、vsize、flagsの3つの重要なパラメーターがあります。 Psize（物理サイズ）は、ディスク上のパーティションのサイズです。 Vsize（仮想サイズ）-ファイルをロードした後のメモリ内のセクションのサイズ。 フラグ-セクション属性（rwx）。 PsizeとVsizeは大きく異なる場合があります。たとえば、プログラマーがプログラムで100万個の要素の配列を宣言し、実行時にそれを埋める場合、コンパイラーはpsizeを増やしません（起動まで配列の内容をディスクに保存する必要はありません）が、vsizeは100万個増加しますそこに何か（実行時に十分なメモリを配列に割り当てる必要があります）。



フラグ（アクセス属性）は、セクションが表示されるメモリページに割り当てられます。 たとえば、実行可能コードを含むセクションにはr_x（読み取り、実行）属性があり、データセクションにはrw_（読み取り、書き込み）属性があります。 プロセッサは、実行フラグなしでページ上でコードを実行しようとすると、例外をスローします。これは、w属性なしでページへの書き込みを試みた場合も同様です。したがって、ウイルスコードを配置する場合、virmakerはウイルスコードが配置されるメモリページの属性を考慮する必要があります。 最近まで、初期化されていないデータの標準セクション（プログラムスタック領域など）にはrwx（読み取り、書き込み、実行）属性があり、コードをスタックに直接コピーしてそこで実行できました。 現在では、これは流行遅れで安全ではないと見なされており、最近のオペレーティングシステムでは、スタック領域はデータ専用です。 もちろん、プログラム自体は実行時にメモリページの属性を変更できますが、これは実装を複雑にします。



また、ヘッダーにはエントリポイントがあります。これは、ファイルを開始する最初の命令のアドレスです。



実行ファイルのこのような重要なプロパティをvirmeakersのアライメントとして言及する必要があります。 ファイルをディスクから最適に読み取ってメモリに表示するために、実行可能ファイルのセクションは2の倍数で整列され、整列（パディング）から残った空き領域はコンパイラーの裁量で何かで埋められます。 たとえば、セクションをメモリページのサイズに揃えることは論理的です。メモリに完全にコピーして属性を割り当てると便利です。 標準的なデータやコードが少しでもある場合でも、これらすべての配置については覚えていません（1キロメートルに正確に1,024メートルがあることをプログラマは知っています）。 さて、実行可能コードのセキュリティメソッドを操作するためのPortable Executable（PE）およびExecutable Linux Format（ELF）標準の説明はデスクトップブックです。



これらのすべてのセクション内のアドレスは接続されているため、セクションの中央でコードを単純にスラップすると、JMPで「縛る」ことはできず、ソースファイルが破損します。 したがって、ウイルスコードを実装するための一般的な場所は次のとおりです。

• メインコードセクション（エントリポイントで始まる実行可能コードの先頭を上書きするウイルス）。
• ヘッダーの終わりと最初のセクションの間のパディング。 そこには何もありません。ファイルを壊すことなく、小さなウイルス（またはそのローダー）をそこに収めることができます。
• ヘッダーに追加して、他のすべての後にファイルに配置できる新しいセクション。 この場合、内部バイアスは解消されず、場所にも問題はありません。 確かに、実行が許可されているファイルの最後のセクション、もちろん、ヒューリスティックが注目を集めます。
• セクションのコンテンツの終わりとその整列された終わりの間のパディング。 これは非常に困難です。最初にこの「終わ​​り」を見つける必要があり、幸運で十分なスペースがあるという事実ではありません。 しかし、一部のコンパイラでは、この場所は特徴的なバイトで簡単に見つけることができます。

方法とトリックがありますが、そのうちのいくつかを2番目の記事で説明します。



さて、コントロールの移転について。 ウイルスが機能するためには、そのコードが何らかの形で制御を獲得する必要があります。 最も明白な方法：最初にウイルスが制御を取得し、それが機能した後、ホストプログラムを取得します。 これが最も簡単な方法ですが、たとえば、ホストが完了した後、または実行中に何らかの機能の実行を「置き換える」など、ウイルスが制御を取得したときに、生存権とオプションがあります。 制御を転送するためのいくつかの手法を以下に示します（以降、エントリポイントまたはEPという用語はエントリポイント、つまり、システムローダーが実行可能ファイルを起動用に準備した後に制御を転送するアドレスです）。

1. JMPは、エントリポイントファイルの最初のバイトをウイルスの本文に置き換えます。 ウイルスは本体にバイトを保存し、独自の作業の最後にそれらを復元し、復元されたバッファの先頭に制御を移します。
2. 前の方法と似ていますが、ウイルスはバイトの代わりにいくつかの完全なマシン命令をエントリポイントに格納し、何も復元せず（スタックの正しいクリーニングのみの後）、独自の作業を完了してから実行し、次の命令のアドレスに制御を転送します「盗まれた」
3. 実装の場合と同様に、cなメソッドがさらにありますが、以下でそれらを検討するか、次の記事に延期します。

これらはすべて、コードを含むバッファを実行可能ファイルに正しく挿入する方法です。 また、p。2およびp。3。 これらは、どのバイトが命令であり、命令間の境界がどこにあるかを理解できる機能を意味します。 結局、命令を半分に「ブレーク」することはできません。この場合、すべてがブレークします。 したがって、ウイルスの逆アセンブラーの検討にスムーズに進みます。 実行可能コードを操作するためのすべての通常の手法を検討するには、逆アセンブラーの動作原理の概念が必要になるため、ここで少し説明しても大丈夫です。



命令間の正確な位置にコードを挿入すると、コンテキスト（スタック、フラグ）を保存し、ウイルスコードを実行した後、すべてを元に戻し、ホストプログラムに制御を返すことができます。 もちろん、これはコード整合性制御、アンチデバッグなどを使用する場合にも問題になる可能性がありますが、それについては2番目の記事で詳しく説明します。 そのような位置を検索するには、これが必要です。

• ポインタを命令の先頭に正確に配置します（実行可能セクションでランダムな場所に移動してそこから逆アセンブルすることはできません。同じバイトが命令のオペコードとデータの両方になる可能性があります）
• 命令の長さを決定します（x86アーキテクチャの場合、命令の長さは異なります）
• ポインタをこの長さまで前方に移動します。 次の指示の最初になります。
• 停止するまで繰り返す

これは、命令の途中に落ちないために必要な最小限の機能であり、バイト文字列へのポインタを受け取り、それに応じて命令の長さを返す関数は、長さ逆アセンブラと呼ばれます。 たとえば、感染アルゴリズムは次のようになります。

1. おいしい実行可能ファイルを選択します（ウイルスの本体に合わせて、セクションの分布などを適切に調整できます）。
2. コード（ウイルスの本体コード）を読み取ります。
3. 被害者ファイルから最初のいくつかの指示を取得します。
4. それらをウイルスコードに追加します（作業容量を復元するために必要な情報を保存します）。
5. 被害者コードの実行を継続する命令への移行をウイルスコードに追加します。 したがって、独自のコードを実行した後、ウイルスは被害者コードのプロローグを正しく実行します。
6. 新しいセクションを作成し、そこにウイルスコードを記述して、ヘッダーを編集します。
7. これらの最初の指示の代わりに、ウイルスコードに切り替えます。

これは、実行可能ファイルに侵入し、何も壊さず、コードを密かに実行し、実行をホストプログラムに戻すことができる完全に正しいウイルスのオプションです。 今、彼を捕まえましょう。

検出器の解剖学

突然、どこからともなく、白いコンピューターに騎士が現れ、彼の左手にはデバッガーが、右手には逆アセンブラー、ウイルス対策会社のプログラマーがいます。 彼はどこから来たの？ もちろん、あなたはそれを推測しました。 高い確率で、彼はそこに「隣接エリア」から現れました。 プログラミングの観点からウイルス対策の分野は、これらの人が非常に洗練されたアルゴリズムをややtin屈な状態でいじくり回さなければならないので、主題の人々によって非常に尊敬されています。 自分で判断してください。入力に10万のコピーと実行可能ファイルがあり、ほぼリアルタイムで作業する必要があり、エラーのコストは非常に高くなります。



ウイルス対策、およびバイナリのyes / noソリューション（感染/正常）を受け入れる状態マシンには、2種類のエラーがあります-誤検知と誤検知（ファイルを感染と誤認識し、感染したものを誤ってスキップしました）。 どのシナリオでもエラーの総数を減らす必要があることは明らかですが、アンチウイルスの偽陰性は偽陽性よりもはるかに不快です。 「トレントをダウンロードした後、ゲームをインストールする前にウイルス対策をオフにしてください」-それはおなじみですか？ これは「誤検知」です。crack.exeは、実行可能な.exeファイルに十分に賢いヒューリスティックアナライザー（以下を参照）の何かを書き込み、ウイルスのように見えます。 sayingにもあるように、「終わらないよりも追い越す方が良い」。



最新のウイルス対策のコンポーネントについて説明する必要はありませんが、それらはすべて1つの機能-ウイルス対策ディテクタを中心に展開しています。 オンザフライでファイルをスキャンし、ディスクをスキャンし、電子メールの添付ファイルをチェックし、すでにスキャンされたファイルを検疫し、保存するモニター-これはすべて、メインの検出カーネルのバインドです。 ウイルス対策の2番目の重要なコンポーネントは補充された機能データベースであり、これがないとウイルス対策を最新の状態に保つことは不可能です。 3番目のコンポーネントは非常に重要ですが、別のシリーズの記事に値するもので、不審なアクティビティがないかシステムを監視しています。



そのため（従来のウイルスを検討しています）、入り口に実行可能ファイルと数十万の潜在的なウイルスの1つがあります。 検出しましょう。 これをウイルスの実行可能コードにしましょう：

 XX XX XX XX XX XX ;    N  . . . 68 2F 2F 73 68 push 0x68732f2f ; “hs//” 68 2F 62 69 6E push 0x6e69622f ; “nib/” 8B DC mov ebx, esp ;  ESP    «/bin/sh» B0 11 mov al, 11 CD 80 int 0x80 XX XX XX XX ;    M  . . .
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

オペコードの束（68 2F 2F 73 68 68 2F 62 69 6E 8B DC B0 11 CD 80）を取得して、ファイル内でこのバイト文字列を探したいだけです。 あなたがそれを見つけたら、私はそれを持っている、あなたはろくでなし。 しかし、残念ながら、同じバイトのパケットが他のファイル（シェルの呼び出し元がわからない）で見つかっていることがわかります。また、「stotych」を検索するような行でさえ、それぞれを検索すると、最適化は役に立ちません。 ファイル内のそのような行をチェックする唯一の高速で正しい方法は、FIXEDオフセットでその存在をチェックすることです。 どこから入手できますか？



「隣接領域」、特にウイルスが自分自身を配置する場所と、ウイルスがそれ自体に制御を移す方法に関する場所を思い出します。

• ウイルスは、ヘッダーと最初のセクションの先頭の間のパディングに埋め込まれます。 この場合、オフセットによってこのバイト文字列の存在を確認できます
  
  「ヘッダーの長さ」+ N（Nは、ウイルスの先頭からバイト文字列までのバイト数）
• ウイルスは新しい別のセクションにあります。 この場合、コードですべてのセクションの先頭からバイト文字列の存在を確認できます
• ウイルスは、コードの終わりとコードセクションの終わりの間のパディングに侵入しました。 「コードセクションの終わり」-M（Mはバイト文字列の終わりからウイルスコードの終わりまでのバイト数）-「バイト文字列の長さ」など、セクションの終わりから負のオフセットを使用できます。

さて、そこからコントロールの移転について：

• ウイルスは、エントリポイントの指示の上に直接指示を書きました。 この場合、オフセット「エントリポイント」+ N（Nはウイルスの先頭からバイト文字列までのバイト数）だけでバイト文字列を探しています。
• エントリポイントJMPに記録されているウイルス。 この場合、最初にこのJMPの場所を計算してから、オフセット「JMP移行アドレス」+ N（Nはウイルスの先頭からバイト文字列までのバイト数）でバイト文字列を探す必要があります。

「バイト文字列」を書くのにうんざりしているものは、可変長で、データベースに保存するのは不便であり、絶対にオプションです。したがって、バイト文字列の代わりに、その長さとCRC32を使用します。 CRC32アルゴリズムは低速ではないため、このようなレコードは非常に短く、比較は高速です。 固定変位を超える衝突の可能性はわずかであるため、チェックサムの衝突に対する抵抗を追求することは意味がありません。 さらに、衝突が発生した場合でも、エラーのタイプは「偽陽性」になりますが、それほど怖いものではありません。 上記のすべてを要約します。ここに、アンチウイルスデータベースのレコード構造の例を示します。

1. ウイルスID
2. EPから、ヘッダーの末尾から、最初のセクションの末尾から、すべてのセクションの先頭から、JMP命令のアドレスからEPへのオフセットなどを読み取る場所を示すフラグ）
3. オフセット
4. 署名の長さ（Lsig）
5. CRC32署名（CRCsig）

入力を最適化し（指定されたファイルに「適合する」署名のみを残し、ヘッダーからすぐに必要なオフセットのセットを準備します）、次に：

 { #     -         (  , entry point  ..) -    offset -  Lsig  -    CRC32 -   –    }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ほら、これが最初のアンチウイルスです。 かなり完全なシグネチャのデータベース、通常選択されたフラグ、適切な最適化の助けを借りて、この検出器はすべての感染の95％を非常に迅速にキャッチすることができるためです（現代のマルウェアの大部分は、可変性のない単なる実行可能ファイルです）。 次に、「署名データベースをより速く更新する人」と「すぐに新しいインスタンスを送信する人」にゲームを開始します。



この「厄介さ」の収集とカタログ化は非常に簡単な作業ですが、検出器の高品質なテストには絶対に必要です。 実行可能ファイルの参照データベースを収集するのは簡単な作業ではありません：感染ファイルのすべてのインスタンスを見つけて（複数のインスタンスでの複雑なケースの場合）、それらをカタログ化し、それらを「クリーン」ファイルと混合し、検出エラーを検出するためにそれらの検出器を定期的に実行します。 このようなデータベースは長年にわたって使用されており、ウイルス対策企業にとって非常に貴重な資産です。 おそらく私は間違っており、実際にそれを手に入れます（あらゆる種類のオンラインウイルススキャンサービスはその類似物を提供することができます）が、この問題に対処したとき、（少なくともLinuxでは）そのようなものを手に入れることは不可能でした。

ヒューリスティックアナライザー

なんというひどい言葉-「ヒューリスティックアナライザー」、ウイルス対策インターフェイスでも表示されない（おそらくユーザーを怖がらせる）。 これはウイルス対策の最も興味深い部分の1つです。これは、すべてのエンジン（署名でもエミュレータでもない）に収まらないすべてが押し込まれ、患者が咳とくしゃみをしているが特定の病気を特定しているように見えるためです。できません。 これは、感染の特徴的な兆候がないかファイルをチェックするコードです。 そのような兆候の例：

• 不正な（ウイルスによって破損しているが機能している）ファイルヘッダー
• エントリーポイントでのJMP
• コードセクションの「Rwx」

まあ、など。 ヒューリスティックは、感染の事実を示すことに加えて、より「重い」ファイル分析を実行するかどうかを判断するのに役立ちますか？ 各症状には、「何らかの疑わしい」から「何がわからないが、ファイルが正確に感染している」まで、さまざまな重みがあります。 «false positive». , . , ? .

, . , , -. , – :

• ;
• .

. , . , . , .



(Entry Point Obscuring) , , . , , , : JMP, CALL, RET , .. , .



, .



. , , EXE- «» «», . , ? , « ». – , . . , .



« ». , – , , -. --malware – , payload-, . : . , .



( , ) . , , , .