虛擬機檢測與反檢測技術研究

2011-03-14 06:44:56程微微張琦謝億鑫

網絡安全技術與應用 2011年2期

程微微張琦謝億鑫

無錫江南計算技術研究所江蘇 214083

0 引言

對于惡意代碼進行分析的研究人員來說，虛擬機是一個非常有用的工具。研究人員可以在虛擬機中執行惡意代碼的樣本，然后對其行為進行分析。一旦分析結束，可以迅速恢復系統，而且對真實主機沒有絲毫危害。它提供了一種確認程序是否是惡意代碼的安全手段。然而攻擊者為了提高惡意程序的隱蔽性以及破壞真實主機的成功率，他們都會在惡意程序中加入檢測虛擬機的代碼，以判斷程序所處的運行環境。當發現程序處于虛擬機(特別是蜜罐系統)中時，它就會改變操作行為或者中斷執行，甚至進行拒絕服務攻擊和滲透攻擊。本文主要對當前的虛擬機檢測技術及其檢測的準確率進行研究，然后針對當前一些惡意代碼使用的虛擬檢測技術進行反檢測研究。

1 虛擬機技術

本文所指的虛擬機(Virtual Machine)是指通過軟件模擬的具有完整硬件系統功能的、運行在一個完全隔離環境中的完整計算機系統。通過虛擬機環境(Virtual Machine Environment)，比如VMware、Virtual PC、Xen、BOCHS以及用戶模式下的Linux，你可以在一臺宿主計算機上模擬出一臺或多臺虛擬的寄宿計算機，這些虛擬機完全就像真正的計算機那樣進行工作，例如你可以安裝操作系統、安裝應用程序、訪問真實或虛擬設備以及訪問網絡資源等等，虛擬機在宿主主機中的位置如圖1所示。

圖1 虛擬機架構圖

2 虛擬機檢測常用技術

通過虛擬機架構圖可知，在惡意軟件分析中，虛擬機技術提高了木馬、病毒等惡意樣本分析過程的安全性以及硬件資源的節約性，因此虛擬機技術在惡意軟件領域中是應用越來越廣泛。因此，攻擊者為了讓自己的代碼運行在真實的系統中而不是虛擬機中，其就必須有檢測虛擬機的機制。另外，當前，許多蜜罐系統也利用虛擬機進行部署，攻擊者為了避免樣本程序被蜜罐系統捕獲，于是產生遠程虛擬機檢測技術。

2.1 本地虛擬機檢測技術

在本地，檢測虛擬機，攻擊者有不少選擇。當前，檢測本地虛擬機有以下四種策略。

（1）在進程、文件系統或注冊表中搜索VME特征；

（2）在內存中搜索VME特征；

（3）在VME中搜索特定的虛擬硬件；

（4）在VME的處理器中搜索特殊的指令和攻能。

仔細考慮一下，現代的計算機都是由文件系統、內存、各種硬件部件以及處理器，檢測的方法主要包括以下幾種方式。本地的虛擬機檢測機制包括了計算機系統的各個方面。

2.1.1 在進程、服務、文件系統或注冊表中搜索VME特征

虛擬環境(VME)軟件為了便于識別，往往都會向寄宿系統中添加一些明顯的特征。添加的范圍包括正在運行的進程和服務、文件與目錄系統以及注冊表項。許多惡意代碼就是通過這種到上述項目中找VMware相關特征來檢測的。

在一個VMware虛擬環境下的Win Xp寄宿系統中，有開啟的 VMtools服務，在文件系統中有超過 50多個與“VMware”和“vmx”等字符串有關的特征項，而且在注冊表中也有超過500項與“VMware”這樣字符串相關的特征。在這些項目中，有足夠多的特征被攻擊者用來檢測VMware。

雖然這種方法利用的范圍很大，但是該方法利用性有限，容易被欺騙。惡意代碼分析人員可以通過一些 Rootkit技術掛鉤系統服務函數，欺騙惡意代碼，從而使其虛擬機檢測模塊失效。

2.1.2 在內存中搜索VME特征

寄宿系統中的內存映射與宿主系統中的內存映射之間有許多的不同，因而，攻擊者可以到內存中去尋找虛擬機的痕跡。實驗證明，在VMware虛擬環境下的win xp寄宿系統中，用dd命令查看RAM寄存器，在內存中可以找到1500多項與“VMware”有關的內容。當然，在整個內存中去搜索這些類似的特征并不是明智之舉，將搜索范圍縮小到特定的內存區域則是一個可行的方法，這樣，不但容易實現檢測算法，而且效率也較高。虛擬環境中的安裝的操作系統，一些關鍵的操作系統表指針都是重定位的，從而內存位置不同，因此對這些關鍵部件的內存位置進行檢測顯然事半功倍。例如，中斷描述表(Interrupt Descriptor Table)，其用于管理系統的各式各樣的中斷操作，他在宿主系統(真實主機)中的內存位置要比在寄宿系統(虛擬機)中的內存位置低。通過利用檢測IDT所處的內存位置等相關技術，程序可以很快檢測出是否運行在虛擬系統中，再者，由于IDT這些系統核心部件是系統構架的一部分，不容易改變，因此該種檢測技術比較不容易被欺騙。除此之外，它是一種通用方式，對VMware和Virtual PC等虛擬環境均適用，且適用Linux和Windows操作系統。

“紅色藥丸”是Joanna Rutkowska于在2004年11月實現的一種 IDT-檢測虛擬機的技術。它通過 SIDT指令查看IDTR，Rutkowska發現在VMware虛擬環境下的寄宿系統中，IDT基本位于在0xffXXXXXX附近，然而在VisualPC虛擬環境下的寄宿系統下，IDT位于0xe8XXXXXX附近，在宿主操作系統中，IDT則處于很低位置的內存里。根據這個特征，“紅色藥丸”檢測IDTR的指針地址是否大于0xd0000000，如果大于則說明該代碼運行在寄宿主機上，如果小于則聲稱“紅色藥丸”在宿主主機上運行。紅色藥丸可以檢測各樣的虛擬環境，包括VisualPC和VMware，而且可以在各式的操作系統下運行，包括winxp、win2000、linux。不過在一些linux操作系統中，由于一些安全機制阻止從ring3到ring0層的調用，這樣就會導致紅色藥丸產生段錯誤，無法正常進行檢測。

“紅色藥丸”的算法如下所示：

當然，操作系統中像IDT這種關鍵系統結構有許多，可以通過檢查其它的一些類似結構來檢測程序運行環境是否是虛擬環境，如檢測全局描述符表(GDT)和本地描述符表(LDT)這樣的結構。Tobias Klein實現的Scoopy就是分別用SIDT、SGDT、SLDT這些命令去查看IDT、GDT和LDT的內存位置。Klein發現在宿主系統中，IDT位于在0xc0XXXXXX附近(“紅色藥丸”用于檢測的閥值是0xd0XXXXXX)，Scoopy運行檢查，如果發現IDT地址以0xc0開頭，則說明是運行環境是在宿主系統下，否則表示是在寄宿系統下。同樣，經過實驗分析，可發現在真實系統中GDT位于0xc0XXXXXX附近，而LDT位于0x0000附近，通過檢測這三個系統結構的內存位置，不但可以很容易檢測出程序是否運行在虛擬環境中，而且檢測結果更加準確。

2.1.3 搜索VME特殊的虛擬硬件

第三種檢測策略是搜索虛擬環境下特殊的虛擬硬件，例如NIC卡(通過VMware的MAC地址，它經常以00-05-69，00-0C-29或00-50-56開頭)、USB控制器和聲音設備等，還有，一些虛擬環境下引入的 SCSI設備也可以用于檢測。一些虛擬環境還會引起系統時鐘的異常，在虛擬環境中運行程序的效率沒有在真實硬件上高，執行速度要比在真實環境中慢。因為虛擬機模擬硬件，中間有翻譯或攔截，增加了流程，也增加了執行的時間。因此也可以通過基于執行時間差異來檢測虛擬環境。

Scoopy的作者Tobias Klein實現的DOO工具就是利用搜索VME特殊的虛擬硬件的技術檢測虛擬機。在Linux版本的DOO中，其在IO、port以及SCSI等相關的目錄下尋找“VMware”字符串，或者通過使用dmesg命令在內核中查找是否有有關VMware硬件的信息。

在 Windows下的 DOO，其主要是在注冊表中搜索VMware SCSI適配器和VMware硬件類號的鍵值。這些特殊的鍵值如下：

HKEY_LOCAL_MACHINEHARDWAREDEVICEMAP ScsiScsi Port0Scsi Bus 0Target Id 0Logical Unit Id 0Identifier

HKEY_LOCAL_MACHINEHARDWAREDEVICEMAP ScsiScsi Port1Scsi Bus 0Target Id 0Logical Unit Id 0Identifier

HKEY_LOCAL_MACHINESYSTEMControlSet001Co ntrolClass{4D36E968-E325-11CE-BFC1-08002BE10318}