基于“In—VM”思想的內核惡意代碼行為分析方法

馬珂+劉任任+劉新

收稿日期：2013-05-28

基金項目：湖南省教育廳產業化項目（11CY018）

作者簡介：馬 珂（1984—），女，湖南長沙人，碩士研究生，研究方向：計算機網絡，網絡安全。

通訊聯系人，E-mail：70757082@qq.com

文章編號：1003-6199（2014）03-0105-05

摘 要：隨著互聯網的高速發展，網絡安全威脅也越來越嚴重，針對惡意代碼的分析、檢測逐漸成為網絡安全研究的熱點。惡意代碼行為分析有助于提取惡意代碼特征，是檢測惡意代碼的前提，但是當前自動化的行為捕獲方法存在難以分析內核模塊的缺陷，本文針對該缺陷，利用虛擬機的隔離特點，提出了一種基于“In-VM”思想的內核模塊惡意行為分析方法，實驗表明該方法能夠分析內核模塊的系統函數調用和內核數據操作行為。

關鍵詞：網絡安全；虛擬機；惡意代碼分析；內核模塊

中圖分類號：TN915.08 文獻標識碼：A

Analysis of Kernel-malware Behavior Based on “In-VM”

MA Ke， LIU Ren-ren， LIU Xin

（The College of Information Engineering of Xiangtan University， Xiangtan，Hunan 411105，China）

Abstract：With the rapid development of Internet， threats of network security have become increasingly serious. Malware analysis and detection have become a hot research topic. Malware behavior analysis helps to extract the characteristics of malicious code， is the premise of detecting malicious code， but at the current level of development，the automated capture method is difficult to analyze behaviors of kernel module. In order to solve this problem， this paper proposed a kernel modules malicious behavior analysis method based on “In-VM” ， experimental results show that this method can analyze system calls and data manipulation of kernel modules .

Key words：network security； virtual machine； malware analysis； kernel module

1 前 言

互聯網的發展使得我們越來越依賴于網絡，但是，我們在享受互聯網帶來便利的同時，必須面對越來越嚴重的網絡安全問題。在政治利益或經濟利益的驅動下，網絡安全事件每年都呈上升趨勢。第26次中國互聯網絡安全狀況統計報告顯示[1]，2010年上半年，有30.9%的網民賬號或密碼被盜過，59.2%的網民在使用互聯網過程中遇到過病毒或木馬攻擊，網絡安全的問題仍然制約著中國網民深層次的網絡應用發展。

惡意代碼行為分析是檢測惡意代碼的前提，能夠為行為特征碼的提取提供直接的參考依據。當前惡意代碼行為的自動化捕獲方法存在著若干缺點[2]：首先，分析環境容易被惡意代碼檢測出來，這是因為惡意代碼通常會檢查自身的運行環境，如是否存在hook、是否處于調試狀態等；其次，惡意代碼行為信息不全面，分析環境限制了惡意代碼與操作系統的交互，因而無法獲取到全面的信息；最后，難以分析內核模塊，Windows是共享的內核空間，無法區分哪些行為是惡意代碼的行為。

隨著安全技術的發展和計算機用戶安全意識的提高，完全用戶層的惡意代碼越來越難生存，于是一部分有能力的黑客把眼光投向了系統底層——ring 0層。位于ring 0層的是系統核心模塊和各種驅動程序模塊，由于該類型惡意代碼運行在ring 0級別，擁有與系統核心同等級的權限，因此它的威脅更加嚴重，而且可以更輕易的把自己隱藏起來。所以，惡意代碼行為分析系統不僅需要分析用戶態的行為而且需要分析其內核態的行為，針對大多數惡意代碼行為分析系統無法獲取完整內核行為的缺陷，本文擬研究基于虛擬機的內核惡意代碼行為分析系統。

虛擬機能夠有效實現操作系統的隔離，進而抵御客戶操作系統中特權惡意代碼的攻擊，因此，近年來虛擬機在計算機安全領域受到廣泛關注和應用，如入侵檢測、攻擊行為分析、惡意代碼檢測、蜜罐和可信計算等[3]。本文研究基于虛擬機的惡意代碼行為分析技術，針對現有技術無法分析惡意代碼內核模塊的缺陷，提出了一種基于“In-VM”思想的內核模塊惡意行為分析方法，該方法在系統內核中構建兩個內核空間，把惡意內核模塊置于一個隔離的內核空間中，惡意模塊調用系統函數或改寫系統變量都會觸發中斷，并被底層的VMM（Virtual Machine Monitor）捕獲，從而使得VMM可以記錄惡意模塊的行為。

本文第二節介紹虛擬機及惡意代碼行為分析的相關研究；第三節詳細討論基于“In-VM”的內核模塊分析模型；第四節是功能測試；最后一節是本文總結。

2 相關研究

2.1 虛擬機

虛擬機在計算機安全領域受到廣泛關注和應用，在基于虛擬機的安全應用中，一個典型的模型如圖1所示，安全工具位于Host Virtual Machine（Host OS）中，而用戶應用程序運行在Guest Virtual Machine（Guest OS）中，利用VMM和Host OS監視Guest OS的行為。虛擬機監視器（Virtual Machine Monitor，VMM）之所以被廣泛應用于計算機安全領域研究，是因為VMM提供的三種特性：Isolation，Inspection，Interposition[4]。

“Isolation”即隔離特性。運行在一個虛擬機中的軟件無法訪問或修改VMM和其他虛擬機中的軟件。隔離特性保證：即便惡意攻擊者完全控制了Guest OS，也無法攻擊VMM、Host OS以及Host OS中的安全工具；

“Inspection”特性。VMM能夠訪問虛擬機的所有狀態：CPU狀態（包括寄存器），內存，I/O設備（存儲的內容和狀態控制寄存器），所以該特性可以確保VMM和Host OS中的安全工具能夠監視Guest OS的運行，記錄系統的運行信息；

“Interposition”特性。VMM能夠截獲虛擬機的特定操作（比如：執行特權指令）。Host OS中的安全工具可以利用該特性執行特殊功能，比如僅僅對VMM做細微修改，VMM就可以截獲虛擬機試圖修改特定寄存器的操作。該特性使得VMM可以截獲Guest OS的行為，在特定的條件下阻止或允許某個系統行為。

2.2 基于虛擬機的惡意代碼行為分析

目前，惡意代碼行為分析有兩類方法，即靜態方法和動態方法。靜態方法采用代碼規范化及語義重構來分析惡意代碼的行為，側重于獲取惡意代碼的功能；動態方法則通過研究惡意代碼執行時的系統調用序列來分析惡意代碼行為，側重于獲取惡意代碼實現惡意目的的過程。

靜態分析的方法獲取的信息不夠全面，而且惡意代碼會使用加密、混淆等方法來阻礙靜態分析，動態分析的方法能夠獲取更加完善的信息，是惡意代碼行為分析的主要方法。越來越多的學者研究基于虛擬機的惡意代碼行為分析方法，這些研究主要是針對用戶空間的惡意代碼行為：

1）Norman Sandbox[5]通過實現Windows系統核心來實現進程虛擬機，這使得Norman Sandbox系統上只能運行一個進程，即目標進程。盡管Norman Sandbox還對網絡連接環境進行了模擬，但是這樣的虛擬運行環境與真實環境仍然存在著較大的差異，該虛擬運行環境中的惡意代碼進程無法干預、感染或修改其他進程，導致Norman Sandbox對惡意代碼的分析結果可能與惡意代碼實際執行的結果不一致。

2）CWSandbox[6]采用inline hook和DLL注入技術實現了對目標進程的API攔截與分析，最終實現對該進程行為的獲取。CWSandbox的這種捕獲方式存在一個問題：API hook技術由于修改了目標進程的代碼，因此很容易被檢測出來。因此，CWSandbox 的分析是很容易被惡意代碼繞過的。

3）Joebox[7]將目標代碼運行在hypervisor上，并采用了SSDT hook的方式截獲目標進程的系統調用的。盡管Joebox在分析用戶態代碼時相對不容易被檢測，但是SSDT hook對系統的關鍵結構進行了修改，依然存在著被檢測到的可能。而且SSDT是系統服務描述符表，是一個把ring3的Win32 API和ring0的內核API聯系起來的橋梁，所以僅僅監視SSDT調用實際上也是監視用戶態函數調用情況。

4）TTAnalyze[8]利用了VMM在VM外部捕獲惡意代碼行為的方式。TTAnalyze通過在QEMU的虛擬機上安裝Windows XP構建虛擬運行環境，這樣的虛擬運行環境與真實系統較為接近。目標進程運行在這個虛擬運行環境內，TTAnalyze通過監視其系統調用實現對目標進程的分析。TTAnalyze雖然能夠實現較為隱蔽的分析，但是無法實時分析新進程，并且不具備對服務和遠程線程的分析能力，這使得 TTAnalyze的分析結果不能夠全面地反映惡意代碼的行為。

5）ExecRecorder[9]基于Bochs實現了對整個客戶操作系統行為的記錄與回放，從而實現對攻擊行為的分析進并進行相應的系統恢復。

6）Andreas Moser[10]等基于QEMU實現了對客戶操作系統內進程的多路徑監視，從而能夠更加精確地分析惡意代碼的的行為。

7）Jedidiah R. Crandall[11]等通過監視虛擬機的計時器實現了基于時序搜索的惡意代碼檢測技術，使得自動化的惡意代碼分析更加精確。

上面介紹的各種方法主要是分析惡意代碼在用戶態的行為，Joebox能夠監視內核SSDT的調用，但是它通過監視SSDT來獲取用戶態系統函數的調用情況，并不能監視內核模塊的行為。

3 基于“In-VM”的內核模塊分析模型

惡意內核模塊的行為主要包括調用內核函數，修改內核代碼或變量。為了捕獲這些行為，常用的HOOK方法是不適用的，需要把待分析內核模塊隔離。“In-VM”的思想被用于檢測惡意代碼，本來借鑒該思想來分析惡意代碼行為。

3.1 “In-VM”思想

在基于虛擬機的惡意代碼檢測應用中，為了解決VMM和Guest VM之間頻繁切換帶來的性能損耗問題，Monirul Sharif[12]等人提出的一種“In-VM”的檢測思想，基于“In-VM”思想的檢測過程在客戶系統之內完成，并且同時能夠保證檢測過程不受惡意代碼攻擊。

“In-VM”檢測思想的基礎是針對內核構造了兩種地址空間：Process Virtual Address Space和SIM Virtual Address Space。正常情況下，內核工作在Process Virtual Address Space，當HOOK系統函數成功后，內核地址空間轉換到SIM Virtual Address Space。在SIM地址空間中客戶系統內核數據、代碼是不可執行的，這就保證了內核中的惡意代碼無法攻擊到HOOK處理模塊。

在基于虛擬機的惡意代碼檢測中，“In-vm”思想在內核中構建兩個隔離的空間，這種思想可以被用于分析內核惡意模塊行為，我們把惡意內核模塊置于一個隔離的內核空間中，則我們可以記錄該模塊調用內核函數、讀寫內核數據等操作。

3.2 內核模塊分析模型

Windows的內核空間是共享的[13]，對每個內核模塊來說，其地址空間都是相同的，而且內核函數和系統全局變量廣泛分散在整個內核空間中，所以常用的HOOK方法是不適用的。“In-VM”的思想通過構建兩個內核空間來達到隔離效果，本文利用該思想來隔離惡意內核模塊，從而分析其行為。

本文在內核空間中構建了兩個地址空間：Process Kernel space和In-VM Kernel space。正常情況下，內核工作在Process Kernel space，當系統準備執行待分析的惡意模塊In-VM module，因為In-VM module在Process Kernel space是不可執行的，所以會觸發不可執行中斷，VMM捕獲到該中斷，并把內核切換到In-VM Kernel space。在In-VM Kernel space中，任何調用系統函數、改寫系統變量的操作都能被捕獲，因為在該隔離的內核空間中，系統內核代碼不可執行，系統數據不可寫。

如圖2所示，左邊是Process Kernel space，Kernel Code和Kernel Data是未加載惡意模塊之前的系統內核代碼和內核數據，In-VM Code和In-VM Data是惡意模塊代碼及其數據，R、W和X分別代表該項是否可讀、可寫和可執行

在Process Kernel space中，當需要調用In-VM模塊代碼時，會觸發不可執行中斷，VMM捕獲該中斷，判斷中斷類型，并把內核切換到In-VM Kernel space（通過改變CR3的值來實現）。在In-VM Kernel space中，當需要調用內核函數或改寫內核變量時，也會觸發不可執行或不可寫中斷，VMM捕獲到該中斷，并根據中斷類型分別處理。圖3是在In-VM Kernel space中調用內核函數或改寫內核變量的處理過程，對于不可寫中斷，VMM直接改寫內核數據并返回In-VM Kernel space，對于不可執行中斷，VMM需要切換CR3的值，轉入Process Kernel space中。

4 實 驗

本文的實驗環境為：Thinkpad T400，測試使用的客戶操作系統為Windows SP2，開源虛擬機

KVM（Kernel Virtual Machine）[14]，處理器為Intel Core 2 P8600，物理內存為2GB。在此基礎之上，本文實現了上述模型的原型系統，能夠分析惡意模塊調用內核函數及改寫內核全局變量的行為。

內核惡意代碼的主要功能有三個方面[15]：①修改內核數據，以達到隱藏自身活動的目的；②修改內核數據或代碼，以達到HOOK內核系統函數的目的；③直接調用內核函數，以達到獲取系統信息的目的。表1是針對多款rootkit的實驗結果，本文選取了多款常用的rootkit來檢驗上述原型系統，實驗結果表明本文提出的原型系統能夠成功分析惡意模塊調用內核函數及改寫內核全局變量的行為。

5 結束語

隨著安全技術的發展和計算機用戶安全意識的提高，完全用戶層的惡意代碼越來越難生存，于是一部分有能力的黑客把眼光投向了系統底層——ring 0層，該類型惡意代碼運行在ring 0級別，擁有與系統核心同等級的權限。但是當前自動化的惡意行為捕獲方法存在難以分析內核模塊的缺陷，本文針對該缺陷，利用虛擬機的隔離特點，提出了一種基于“In-VM”思想的內核模塊惡意行為分析方法，并實現了該模型的原型系統，實驗表明該方法能夠分析內核模塊的系統函數調用和內核數據操作行為。

參考文獻

[1] 第26次中國互聯網絡發展狀況統計報告[R].2010，中國互聯網絡信息中心。

[2] 林清陽，基于虛擬化的惡意代碼行為捕獲技術研究[D]. 鄭州：解放軍信息工程大學，2010.

[3] 溫研. 隔離運行環境關鍵技術研究[D]. 長沙： 國防科學技術大學， 2008.

[4] JIANG X，XU D，WANG X.Stealthy malware detection through vmm-based “out-of-the-box” semantic view reconstruction. In Proceedings of the ACM Conference on Computer and Communications Security， 2007.

[5] Norman Sandbox. Norman SandBox Technology[EB/OL]. 2010. http：//www.norman.com/technology/norman_sandbox/the_technology/en

[6] Carsten Willems， Thorsten Holz， Felix Freiling. Toward Automated Dynamic Malware Analysis Using CWSandbox[J]. IEEE Security and Privacy.2007， 5（2）： 32-39

[7] Joebox. Joebox a secure Sandbox Application for Windows to analyse the Behaviour of Malware[EB/OL]. 2010. http：//www.joebox.org/concept.php

[8] BAYER U，KRUEGEL C，KIRDA E.TTAnalyze： A Tool for Analyzing Malware[C]. 15th Annual Conference of the European Institute for Computer Antivirus Research.2006： 180-192.

[9] OLIVEIRA D A， CRANDALL J R，WASSERMANN G， et al. ExecRecorder： VM-Based Full-System Replay for Attack Analysis and System Recovery[C]. Workshop on Architectural and System Support for Improving Software Dependability （ASID'06， with ASPLOS 2006）， 2006： 66-71.

[10]ANDREAS M，CHRISTOPHER K，ENGIN K. Exploring Multiple Execution Paths for Malware Analysis[C]. 2007 IEEE Symposium on Security and Privacy （S&P'07）， 2007： 231-245.

[11]CRANDALL J R，WASSERMANN G，OLIVEIRA D A， et al. Temporal Search： Detecting Hidden Malware Timebombs with Virtual Machines[C]. Proceeedings of 12th International Conference on Architectural Support for Programming Languages and Operating Systems （ASPLOS'06）， San Jose， California， USA. 2006： 25-36.

[12]SHARIF M，LEE W，CUI W，LANZI A.Secure In-VM Monitoring Using Hardware Virtualization. In Proceedings of the 16th ACM Conference on Computer and Communications Security， November 2009.

[13]RUSSINOVICH M E，SOLOMON D A. Microsoft Windows Internals， Fourth Edition： Microsoft Windows Server 2003， Windows XP， and Windows 2000[M]. Microsoft Press， 2004.

[14]Kernel based Virtual Machine[EB/OL]. http：//www.linux-kvm.org/page/Main_Page. Last accessed Apr. 20， 2009.

[15]Greg Hoglund， James Butler. Rootkits—Windows內核的安全防護[M]. 北京：清華大學出版社， 2007.

[8] BAYER U，KRUEGEL C，KIRDA E.TTAnalyze： A Tool for Analyzing Malware[C]. 15th Annual Conference of the European Institute for Computer Antivirus Research.2006： 180-192.

[9] OLIVEIRA D A， CRANDALL J R，WASSERMANN G， et al. ExecRecorder： VM-Based Full-System Replay for Attack Analysis and System Recovery[C]. Workshop on Architectural and System Support for Improving Software Dependability （ASID'06， with ASPLOS 2006）， 2006： 66-71.

[10]ANDREAS M，CHRISTOPHER K，ENGIN K. Exploring Multiple Execution Paths for Malware Analysis[C]. 2007 IEEE Symposium on Security and Privacy （S&P'07）， 2007： 231-245.

[11]CRANDALL J R，WASSERMANN G，OLIVEIRA D A， et al. Temporal Search： Detecting Hidden Malware Timebombs with Virtual Machines[C]. Proceeedings of 12th International Conference on Architectural Support for Programming Languages and Operating Systems （ASPLOS'06）， San Jose， California， USA. 2006： 25-36.

[12]SHARIF M，LEE W，CUI W，LANZI A.Secure In-VM Monitoring Using Hardware Virtualization. In Proceedings of the 16th ACM Conference on Computer and Communications Security， November 2009.

[13]RUSSINOVICH M E，SOLOMON D A. Microsoft Windows Internals， Fourth Edition： Microsoft Windows Server 2003， Windows XP， and Windows 2000[M]. Microsoft Press， 2004.

[14]Kernel based Virtual Machine[EB/OL]. http：//www.linux-kvm.org/page/Main_Page. Last accessed Apr. 20， 2009.

[15]Greg Hoglund， James Butler. Rootkits—Windows內核的安全防護[M]. 北京：清華大學出版社， 2007.

[8] BAYER U，KRUEGEL C，KIRDA E.TTAnalyze： A Tool for Analyzing Malware[C]. 15th Annual Conference of the European Institute for Computer Antivirus Research.2006： 180-192.

[9] OLIVEIRA D A， CRANDALL J R，WASSERMANN G， et al. ExecRecorder： VM-Based Full-System Replay for Attack Analysis and System Recovery[C]. Workshop on Architectural and System Support for Improving Software Dependability （ASID'06， with ASPLOS 2006）， 2006： 66-71.

[10]ANDREAS M，CHRISTOPHER K，ENGIN K. Exploring Multiple Execution Paths for Malware Analysis[C]. 2007 IEEE Symposium on Security and Privacy （S&P'07）， 2007： 231-245.

[11]CRANDALL J R，WASSERMANN G，OLIVEIRA D A， et al. Temporal Search： Detecting Hidden Malware Timebombs with Virtual Machines[C]. Proceeedings of 12th International Conference on Architectural Support for Programming Languages and Operating Systems （ASPLOS'06）， San Jose， California， USA. 2006： 25-36.

[12]SHARIF M，LEE W，CUI W，LANZI A.Secure In-VM Monitoring Using Hardware Virtualization. In Proceedings of the 16th ACM Conference on Computer and Communications Security， November 2009.

[13]RUSSINOVICH M E，SOLOMON D A. Microsoft Windows Internals， Fourth Edition： Microsoft Windows Server 2003， Windows XP， and Windows 2000[M]. Microsoft Press， 2004.

[14]Kernel based Virtual Machine[EB/OL]. http：//www.linux-kvm.org/page/Main_Page. Last accessed Apr. 20， 2009.

[15]Greg Hoglund， James Butler. Rootkits—Windows內核的安全防護[M]. 北京：清華大學出版社， 2007.