全国电力技术协作网首页
CopyRight 2012-2014 DS文库版权所有
典型vbs病毒自加密技术研究及防范
(0 次评价)483 人阅读0 次下载
桌面安全 437 典型 vbs 病毒自加密技术研究及防范 中国长江电力股份有限公司 三峡梯调通信中心,洪福鑫 摘 要: 典型的 Vbs 病毒通过将病毒源代码模块化, 然后在病毒执行时对源代码实施基于模块的重组、 变形和加密, 使得病毒具有规避传统的代码特征检测系统的能力。为了检测具有规避传统检测能力的 Vbs 病毒,本文首先深入分析目 前典型 Vbs 病毒自加密的工作原理,然后在此基础上研究自加密后病毒源代码的代码特征和行为特征,进而提出了基于 这两类特征的针对性检测方法。该检测方法对 Vbs 病毒的检测具有一定的参考价值。 关键词:Vbs;子模块;引导模块;源代码 0 引言 电力生产系统安全与电网正常稳定运行息息相 关,更是直接影响着人民的生产和生活。因此在电 力系统中,安全通常摆在电力生产企业的首位。随 着电力生产企业的现代化进程,企业信息化程度不 断提高,伴随信息化的网络信息安全也显得尤为重 要。尽管“横向隔离,纵向加密”是电力生产企业 信息安全的入门坎,但与电力生产系统密切相关的 信息系统、计算机系统、通信系统等局域网内部, 通常都无法严格禁止 U 盘的使用和局域网共享服务。 这给上述类似网络带来了安全隐患,也将间接威胁 到电力生产系统的安全。 本文基于一种典型的通过 U 盘、局域网共享等传播的 Vbs 脚本病毒,针对其广 泛采用的自加密技术进行了研究,研究结果将有助 于此类病毒的检测及防范。 1 Vbs病毒 Vbs 病毒由 VB Script 脚本语言编写而成,其可 执行文件以“.vbs”为后缀。它利用功能强大的脚 本语言和 Windows 系统的开放性特点,通过调用现 成的 Windows 对象、组件,直接实现对文件系统、 注册表系统的控制和操作。 1.1 Vbs病毒代码特点 (1)易于编写和扩散 Vbs 是微软开发的语言,vbs 源代码由 windows 自带宿主程序来解释执行,因此不需要为编写、调 试、运行 vbs 程序而搭建特定的环境。其编写仅仅 只需要在文本里输入相应代码,然后保存为.vbs 后 缀文件即可执行。基于上述原因,vbs 病毒编写简单 且可读性很强。因此 vbs 病毒源代码易于被更改, 这使得 vbs 病毒变种多。另外,vbs 病毒是直接解释 执行,不需做复杂的文件格式处理,因此这类病毒 可以直接通过自我复制的方式感染其它同类文件, 并且自我的异常处理非常容易。这导致 vbs 病毒扩 散范围广,扩散速度快。 (2)代码结构特点 具有自加密功能的 Vbs 病毒通常会按照不同原 则将病毒源代码分割成一定数量的子模块。典型的 Vbs 病毒通常是按照病毒代码的长短分割源代码为 等长的源代码子模块。分割后的源代码子模块会由 固定的首尾标识来界定,所有的子模块和源代码首 尾标识组成整个源代码。 1.2 Vbs病毒功能模块 Vbs 病毒从功能上可以分为如下三大模块: 引导 模块、自加密模块、运行模块。三者执行先后顺序 如图 1。 图1 Vbs病毒三大模块执行顺序 引导模块为 Vbs 病毒运行入口,主要负责定义 引导模块 自加密模块 运行模块

打分:

0 星

用户评论:

全国电力技术协作网是电力企事业单位、员工的技术交流协作平台。协作网致力于为行业内企业间技术创新、协作搭建渠道,为技术专家沟通交流提供平台,为企业职工发展提供服务。协作网通过“信息互通、技术交流、标准宣贯、技术创新、成果转化、技能培训、咨询服务”等形式与业者共同发展进步。
京ICP备13025456号-1
客服电话:010-66186680
反馈建议:13701278405@163.com