程序行为记录与跟踪

程序行为记录与跟踪

在安全网上逛的时候，突然发现一篇很好的文章！详细阐述了当前流行的api hook技术，rootkit技术和主动防御技术，涉及到深入的操作系统知识，需要一定的功底才能看懂，真的很不错，可以说是一篇难得的教程！现摘选如下：

一. 黑匣子的原理

对于一般用户而言，一个程序从开始运行直到结束，这期间内都做过什么，并不是我们需要关心的事情，他们只要听到播放器里的音乐、看到电影画面、和远方的朋友用通讯工具聊天就可以了，有谁会去关心从用户点击播放器程序图标到音乐响起的时间里，这个程序具体做了什么事情呢？然而，如果面对的程序是恶意软件之流，用户就不得不关心一下它到底对自己的计算机造成什么影响了。

程序在运行期间所进行的操作被称为“程序行为”（Action），一般泛指程序进行的相对表现较明显的操作，例如创建读写文件、访问注册表、连接网络等，而在这些操作之外做的程序内部运算、判断、逻辑等操作并不是我们需要关心的，除非是对它进行复杂的分析如逆向工程。对程序行为进行监视记录的过程就是“跟踪”（Tracing），如果要进一步深入，则要使用调试器（Debugger）环境进行汇编级的指令分析，这就是“调试”（Debugging），也可视为更全面的跟踪，因为调试过程可观察到整个程序里的运算和每一步过程。

也许很多用户会觉得，这些复杂技术距离我们很远，甚至会想像为需要复杂设备和程序才能完成，其实，这些技术的应用范围，一直就在我们身边。如果你正在使用一款防毒产品，那么你系统里执行的程序就已经处于被记录行为的状态了；如果你使用HIPS产品，就会更强烈的感受到程序运行被监视着；如果你正在使用调试器，那就不用我说了吧……

在Windows系统里，至少有三种技术可以实现程序行为的记录，甚至控制程序的某些行为，分别是“虚拟机”（VM）、“API钩子”（API Hooking）和“API跟踪”（API Tracing）。

应用广泛的虚拟机技术

经常提到的虚拟机技术有两种，一种是普遍应用上的虚拟机技术，它是通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统，此类虚拟机的概念比较广泛，可以是一种使用软件模拟一个完整的计算机硬件环境技术如VMWare，也可以是介于硬件和编译程序之间的交互介质，如Java虚拟机等；另一种则是反病毒产品中使用的“通用解密器”技术，为了检测一些复杂或者代码加密的病毒，杀毒引擎必须让它运行起来以便自我暴露危险程序行为，但是如果病毒真的在用户计算机里运行了，就违背反病毒产品的初衷了，因此反病毒产品也采取了一种虚拟环境检测方法，这就是虚拟机技术，但是这个技术并非是为病毒提供一套计算机仿真系统，这样就太庞大复杂和消耗资源了，这种虚拟机是指杀毒引擎模拟出一个仿真CPU，这个“CPU”具备和真正CPU等同的指令分析功能，杀毒引擎将待检测的程序代码读入“CPU”中逐条指令循环执行，直到出现特定情况才结束工作，在这个过程中探知程序是否具备病毒行为特征或者暴露出病毒特征码。这就是杀毒引擎的“虚拟机技术”，它的目的就是让程序文件在没有实际运行的情况下得到运行后的结果。

无论是哪种虚拟机技术，它们都能记录和解释程序的每一步执行过程，否则将无法正常运行程序，这也就说明，程序行为是可以被记录的，只是一般不会提供用户查看的接口。在恶意软件检测工作上，虚拟机技术可以帮助安全人员在不会真正让自己感染病毒的环境下放心的运

行恶意程序，从而通过其他手段记录程序行为，普通用户也可通过虚拟机技术来保护自己的系统免受各种恶意软件的攻击，在虚拟环境中执行的程序，所做的一切改动都不会影响到真实的系统，所以用户要理清这个概念，避免不必要的损失，例如现在流行的影子系统（Shadow），它是通过在应用层上虚拟出一个目前的系统环境，所有的操作都没有写入真正的磁盘文件上，从而保证用户在上网时无论遭遇什么后门病毒，重启后都不会存在，最终实现了绝对安全的系统环境。然而，如果用户对它的机制不够了解，单纯认为它只是用来防范病毒，那就大错特错了，如果一个职员为了系统安全而使用全保护模式的影子系统，然后她又把公司的工作任务直接在电脑上完成并保存，那么重启后，她将会发现这一天的努力全化作了泡影！其实非蠕虫性质的网络入侵突破点通常只有几个，如浏览器、即时通讯程序、邮件等，那么我们只要单纯把这几个程序放入虚拟环境中，就不需要把整个系统都变成影子来防范了，这个技术被称为“沙箱”（Sandbox），与影子系统相似，它也是一种虚拟机环境，但是它仅仅为用户指定的程序提供虚拟作用，而不是整个系统，这样一来，有虚拟机需求的用户就不用担心自己辛苦撰写的文件由于一次习惯性的疏忽而丢失了。

充满钩子的世界——API Hooking

钩子技术在Windows系统中的作用与重要性我在这里就不再复述了，尤其从早期rootkit 技术开始，这些钩子就伸向了更底层的系统内核中，从而获得了突破一切传统木马与病毒的权限，而后，大量的恶意软件纷纷向底层靠拢，到今天为止，一般用户已经无法通过简单的删除某个目录某个文件的方法来达到把一些软件扫地出门的效果了。

如果要一个用户谈及对恶意软件的感受，他的第一想法一定是“无法删除和卸载”；如果他被告知自己机器上还存在着rootkit后门，他的反应一定是不相信，因为他“安装着最新的杀毒软件”，如果这个用户对系统只有一些使用经验，那么他会发现任务管理器里没看到什么奇怪的进程，所以他仍然会认为自己系统是安全的。

造成这些现象的原因是什么呢？因为这些恶意程序使用的交互接口，并非Ring 3用户层上的标准Win32 API，而是通过各种手段如驱动程序进入到Ring 0内核层的Native API。

“Native API”（原生API）是Windows NT架构系统中真正工作的API，众所周知，Windows是一个通过大量API函数来实现程序功能的系统，然而，由于Windows是支持POSIX标准（可移植操作系统接口，Portable Operating System Interface）的系统，这就意味着，它除了能运行标准Windows平台程序（即Win32程序）以外，还支持少量其他平台上的程序运行，如OS/2。由于不同平台的程序功能实现方法差异，系统就必须分别为它支持的各个符合POSIX标准的程序提供相应的接口函数，如果根据这个思路去开发一套庞大而完整的接口函数调用，那就太不切实际了，于是，在NT架构系统上，开发者设计了两种不同性质的API接口层，一种被称为“用户态API”，它包括常见的Win32 API和POSIX接口API等，这些API运行在Ring3用户层上，构成了今天的Windows世界；而另一种是被称为“Native”性质的API，它们才是真正的系统API，通常运行在内核态上，实现真正的系统核心功能调用。同时为了实现POSIX，开发者还设计了被称为“子系统”（Sub System）的技术来将不同的系统环境区别开来，正常情况下，从系统引导到桌面时，我们就处于“Win32”子系统下，这时候起到作用的自然就是Win32 API。普通程序员平时接触到的几千个Win32 API，实际上都是通过几百个Native API的不同封装形式来实现的。系统厂商极少提供这些API的公开文档，是因为它们要比一般的函数难以应用而且可能发生变化，当程序员使用Win32 API时，最终的执行过程是在系统经过兼容性检查、错误处理、参数选项分离等一系列复杂转换后，才送入Native API 进行处理的，Native API才是真正执行并反馈运行结果的主体，用户层的API调用只是一种封装形式罢了，例如fopen和CreateFile这两个Win32函数，它们的真正执行函数是Native性质的NtCreateFile，这就是rootkit可以让一般的进程工具不能发现自己的原因，因为它直接干涉了Native API的执行结果。