Metode de detecţie a codului ostil

Transcription

1 UNIVERSITATEA TEHNICĂ DIN CLUJ-NAPOCA Facultatea de automatică şi calculatoare Catedra de Calculatoare Metode de detecţie a codului ostil Referat de doctorat Raport tehnic UTCNCS RT06-10 octombrie 2006 Doctorand: Marius Joldoş Conducător ştiinţific: Prof.Dr.Ing. Iosif Ignat

2 Cuprins 1 Introducere Codul ostil Viruşi Viruşi de macro şi de Viermi Tipuri de cod ostil Viruşi Viermi Spyware Programe care prezintă risc, în legătură cu codul ostil Rootkit-uri Tipuri de cod pentru procesorul de comenzi (shellcode) şi metode de recunoaştere Metode de detectie Elemente detectabile în sisteme de detecţie a intruziunilor şi ziduri antifoc Anomalii Utilizarea improprie Metode de detecţie utilizabile în IDS şi ziduri antifoc Inspectarea pachetelor Metode specifice viruşilor Căutarea de secvenţe specifice Nepotriviri în secvenţe Detecţia generică Funcţii de dispersie Semne de carte Scanarea cap-şi-coadă Scanarea punctului de intrare şi a punctelor fixe Scanarea inteligentă Detecţia scheletului i

3 Identificarea aproape exactă Identificarea exactă Metode de scanare algoritmice Filtrarea Detecţia statică a decriptorului Metoda cu raze X Emularea codului Detecţia dinamică a decriptorului Emularea codului Detecţia geometrică Analiza euristică a viruşilor de Windows pe 32 biţi Concluzii 27 Bibliografie 29 A Unelte 32 A.1 AIDE (Advanced Intrusion Detection Environment) A.2 Chkrootkit A.3 System for Internet-Level Knowledge (or SiLK) A.4 Snort A.4.1 Spade ii

4 Lumea e un loc ˆın care se trăieşte mai greu decˆat ˆınainte, pe măsură ce intrăm ˆın era calculatoarelor. Joe Cocker 1 Introducere 1.1 Codul ostil Codul ostil este unul dintre cele mai mari ameninţari la adresa reţelelor de calculatoare şi a sistemelor de calcul. Raportul CSI/FBI pe 2006 (cf.1.1) arată că din subiecţii chestionaţi cca. 80% au avut probleme rezultate din ac ţiunea codului ostil. Codul ostil exploatează slăbiciuni ale software sau ale configuratiei sistemului pentru a-l deteriora. Codul ostil poate fi împărţit în patru categorii: viruşi propriu-zişi, viruşi de macro şi de , cai troieni şî viermi Viruşi Viruşii sunt programe cod executabil numit uneori malware care se inserează în alt program executabil. Astfel, virusul se propaga atunci când este executat programul infectat. Virusul este pasiv deoarece are nevoie ca un utilizator sau un alt program să-l lanseze şi sa execute programul infectat. Înainte de acest eveniment, virusul rămâne adormit pe disc. La activare codul este plata în memoria centrala a calculatorului şi îşi începe execuţia exact ca orice alt program. De obicei, atunci când este activat, virusul îşi inserează copii ale sale în cele mai comune executabile pe care le poate găsi pe discul rigid al 1

5 1 Introducere Figura 1.1: Proporţia tipurilor de atacuri (din Raportul CSI/FBI pe 2006) calculatorului victimă, proces numit auto-replicare. Programele infectate se răspândesc de obicei de la un calculator la altul prin copii pe medii de stocare sau prin descărcarea de pe Internet Viruşi de macro şi de Cel mai adesea utilizatorii schimba între ei documente, nu programe. Acestea pot fi ţinta viruşilor de macro şi de . Macrodefiniţiile executate de aplicaţii cum sunt Microsoft Word, Excel sau Outlook pot fi şi ele infectate de viruşi. La deschiderea unui document infectat virusul se execută în fundal, neobservat. În mod asemănător, există virusi care se pot ataşa la . De îndată ce destinatarul deschide conţinutul unui mesaj infectat, virusul este executat. Adeseori aceşti viruşi, scrişi în Visual Basic Script, încep să trimită scrisori care conţin copii ale lor fiecărui contact găsit în cartea de adrese a victimei. Viruşii de pot cauza pagube mari infrastructurii de a Internet prin traficul enorm pe care îl generează ca urmare a replicării multiple. În unele cazuri au provocat căderea serverelor de care nu au rezistat volumului imens de trafic. Referat de doctorat Universitatea Tehnică din Cluj-Napoca 2

6 1 Introducere Caii troieni constituie un tip aparte de malware care deschide porţi în sisteme pentru intruşi. Termenul de cal troian este utilizat pentru a descrie software care permite atacatorilor aflati la distanţă să ia controlul sistemului de calcul, să descarce fişiere, să instaleze aplicaţii, să modifice fişiere şi chiar să oprească de tot sistemul. Caii troieni sunt programe instalate fără cunoştinţa încărcăturii ostile de către utilizatori în urma unei infectări a unui fişier sau a unei aplicaţii descărcate de pe Internet. Unul dintre cei mai faimoşi cai troieni, Back Orifice, este atât de puternic încât a ajuns să fie considerat program de gestiune de la distanţa a sistemelor de calcul. 1.2 Viermi Viermii sunt mult mai puternici decât celelalte feluri de cod ostil. Viermii vin de pe Internet şi se pot replica fără intervenţia utilizatorului. În timp ce viruşii sunt pasivi şi au nevoie de intervenţia utilizatorului pentru a se rula, viermii sunt activi. Din cauza faptului că nu au nevoie de intervenţia utilizatorului şi se pot replica şi activa autonom, ei sunt mult mai periculoşi. Viermii sunt programe care folosesc erorile de programare (bugs) ale resurselor din reţele pentru a se replica. Ei se pot inocula în sistemele de calcul datorită erorilor din server, loc în care încep să scaneze reţeaua în căutarea altor calculatoare pe care să le infecteze. Proliferarea unui vierme este uimitoare. De exemplu, Code Red a avut nevoie de 15 minute pentru a infecta mii de calculatoare şi a atacat chiar situl oficial al Casei Albe a SUA. Pe lângă căutarea altor calculatoare pe care să le infecteze, viermii pot cauza pagube prin atacarea reţelei şi a componentelor sale. Un sondaj la nivel naţional în SUA, sponsorizat de către CA Incorporated şi de National Cyber Security Alliance (NCSA) a arătat că 83% dintre adulţii care se implică în legături sociale prin reţele de calculatoare au descărcat fişiere necunoscute, care le puterau expune PC-urile la atacuri. Câteva scopuri în care se poate folosi codul ostil sunt: obţinerea accesului de la distanţă colectarea de date sabotajul refuzul servirii eludarea detectării furtul de resurse ocolirea sistemului de control al accesului îmbunătăţirea statutului social personal împlinirea personală Referat de doctorat Universitatea Tehnică din Cluj-Napoca 3

7 1 Introducere Codul ostil a evoluat rapid în ultimii 20 de ani, după cum se arată în figura 1.2. Figura 1.2: Evoluţia codului ostil din 1981 până azi (după [19]). Scopul acestei lucrări este să determine ce anume elemente ale codului ostil ar putea fi detectabile la nivelul unui sistem de detecţie a intruziunilor. Lucrarea este structurată după cum urmează: în capitolul al doilea se prezintă tipurile de cod ostil care au putut fi identificate; în cel de al treilea capitol se detaliază o serie de metode de detecţie; ultimul capitol prezinta pe scurt câteva concluzii referitoare la unele aspecte ale domeniului. În anexe sunt prezentate câteva instrumente folosibile în detecţia codului ostil. Referat de doctorat Universitatea Tehnică din Cluj-Napoca 4

8 A greşi este omeneşte, dar ca să creezi confuzie totală ai nevoie de un calculator. Paul Ehrlich 2 Tipuri de cod ostil 2.1 Viruşi Viruşii pot face ceea ce poate face oricare alt program. Singura diferenţă este că virusul se ataşează de un alt program şi se executa în secret la executarea programului gazdă. Pe durata sa de viaţă un virus trece prin următoarele patru faze: Faza de adormire: virusul este inactiv. El va fi activat de un eveniment extern. Aceasta fază nu este prezenta la toţi viruşii. Faza de propagare: virusul îşi amplasează copii ale sale în alte programe sau zone ale sistemului. Faza de activare. Activarea poate fi cauzată de o multitudine de evenimente din sistem. Faza de execuţie: virusul îşi execută funcţia (care poate sa nu fie dăunătoare, uneori) Anatomic, un virus are patru părţi: O parte de marcare opţională. O parte care conţine mecanismul de infecţie. O parte cu mecanismul de declanşare. O parte de încărcătură utilă, opţională care cauzează stricăciuni sistemului infectat. 5

9 2 Tipuri de cod ostil 2.2 Viermi Spre deosebire de viruşi, viermii nu necesita ataşarea de alte programe. Datorită structurii recursive a propagării, rata lor de răspândire este foarte mare. Anatomia lor este asemănătoare viruşilor. Partea de mecanism de infecţie caută calculatoare slab protejate din reţea. Ca încărcătură ei pot purta cai troieni sau pot infecta fişiere, astfel ca pot avea caracteristici ale cailor troieni sau ale viruşilor. Weaver [22] a dezvoltat o taxonomie a viermilor pe baza următorilor factori: modul de descoperire al ţintei, purtătorul, modul de activare, încărcătura utilă şi atacatorii. Mecanismul de descoperire a ţintei este mecanismul prin care viermele descoperă noi ţinte. Aceste moduri sunt : scanarea, liste de ţinte generate extern, liste de ţinte antegenerate, liste de ţinte generate intern şi monitorizarea pasivă. Activarea este mecanismul prin care viermele începe să opereze asupra ţintei: cu intervenţia directa a utilizatorului, declanşată de acţiuni ale utilizatorului (d.e. login, resetarea maşinii, deschiderea unui fişier infectat de la distanţă). Purtătorul reprezinta mecanismul folosit de vierme pentru a se transmite la ţintă. Mijlocul prin care apare propagarea poate afecta viteza şi gradul de ascundere al unui vierme. Viermele poate fie să se răspândească activ, fie poate fi transportat ca parte a unei comunicaţii normale. Viermii auto-transportaţi se răspândesc activ de la o maşină la alta ca parte a procesului de infectare. Acest mecanism este folosit la scanarea auto-activată sau în viermii topologici, deoarece transmiterea viermelui este aici parte a procesului de infecţie. Alţi viermi necesită un canal secundar pentru a-şi încheia procesul de infectare. La Blaster, de exemplu, deşi exploatarea folosită pentru început este RPC, maşina victimă se conectează apoi la maşina sursă a infecţiei folosind TFTP pentru a descărca corpul viermelui şi a încheia procesul de infectare. Viermii încorporaţi (embedded) se transmit ca parte a unui canal de comunicaţie normal, fie prin adăugarea fie prin înlocuirea mesajelor normale. Ca urmare, propagarea nu pare o anomalie prin prisma şablonului de comunicare. Cliff Zou [24] arată că, datorită faptului că tabelele de rutare ale BGP sunt inerent publice, atacatorii pot desfăşura viermi de rutare. Aceştia pot cauza o congestie mai severă a conexiunilor de mare viteză ale Internetului deoarece toate scanările pe care le emite un asemenea vierme sunt rutabile pe Internet (şi nu pot fi eliminate decât la destinaţie). Traficul generat de asemenea viermi nu se poate distinge de traficul legal. Doar trecerea globală la IPv6 ar elimina un asemenea tip de vierme. 2.3 Spyware Steve Gibson defineşte spyware ca ORICE SOFTWARE care foloseşte conexiunea la Internet a unui utilizator în fundal. Conexiunea aşa-zisă canal revers TREBUIE SĂ FIE PRECEDATĂ de dezvăluirea completă şi corectă a folosirii propuse a canalului respectiv şi urmată de consimţirea informată, explicită pentru o asemenea utilizare. Orice software Referat de doctorat Universitatea Tehnică din Cluj-Napoca 6

10 2 Tipuri de cod ostil care comunică peste Internet fără aceste elemente este vinovat de furt de informaţie şi desemnat corect ca spyware. Termenul de spyware este, în majoritatea cazurilor, sinonim cu adware, si poate fi un program de genul cailor troieni. Programele spyware pot colecta date sensibile (cum sunt: versiunea de sistem de operare rulata, tipul de răsfoitor de Web, dacă limbajul de scenarii poate fi executat, dimensiunea ecranului, plug-in-urile disponibile, informaţii de DNS din domeniu, pot trasa ruta spre sursă pentru a stabili unde se afla calculatorul ţinta pe reţea) pe două căi: prin cookies şi instalându-se şi apoi executându-se. 2.4 Programe care prezintă risc, în legătură cu codul ostil Sunt numite generic riskware şi constituie orice program legal care poate fi folosit de atacatori pentru a penetra calculatoarele. O lista parţiala de asemenea programe este: 1. Programele care apelează numere din reţele telefonice (dialers), folosind modemurile din calculatoare. Există două categorii: apelatoarele de tip cal troian instalate fără ştirea sau consimţământul utilizatorului (care şi apelează automat situri costisitoare) şi cele legitime care informează utilizatorul despre acţiunile lor şi-i cer permisiunea. 2. Descărcătoarele pot fi ostile mai ales numeroşii cai troieni care există. Chiar şi utilitarele de descărcare legale pot fi periculoase, deoarece ele sunt programate să se execute în fundal, fără intervenţia directa a utilizatorului. Atacatorii pot substitui legăturile spre situri sigure cu altele şi pot cauza descărcarea de cod ostil fara ştirea utilizatorului. 3. Serverele de FTP pot fi folosite de atacatori pentru a câştiga accesul de la distanţă la fişiere şi pentru a urmări activitatea de pe calculatorul ţintă. 4. Serverele prin procură pot fi pot fi folosite de atacatori pentru a se conecta anonim la Internet. 5. Serverele de Telnet pot fi folosite pentru a obţine accesul complet la maşinile victimă. 6. Serverele de Web pot fi folosite pentru a obţine accesul la sistemul de fişiere al maşinii victimă. 7. Clienţii de IRC, datorită incorporării de limbaje de scenarii puternice pentru automatizarea lor pot exploataţi pentru a scrie cai troieni şi viermi IRC. 8. Programele de monitorizare generează informaţii care care pot fi utile atacatorilor. 9. Instrumentele de restaurare a parolelor pierdute. 10. Uneltele de administrare de la distanţă. Retroviruşii, un nume eronat provenind din biologie, sunt viruşi care atacă software antivirus pentru a preveni detectarea lor. Retroviruşii şterg fişierele de definiţie ale antiviruşilor, Referat de doctorat Universitatea Tehnică din Cluj-Napoca 7

11 2 Tipuri de cod ostil dezactivează protecţia antivirus rezidentă în memorie şi încearcă să dezactiveze software antivirus pe orice cale. Viruşii nedetectabili (stealth) se pot ascunde de detecţia cu antiviruşi. Viruşii încăpăţânaţi pot să împiedice oprirea execuţiei lor pe un sistem infectat. 2.5 Rootkit-uri Un rootkit poate fi considerat ca un cal troian introdus într-un sistem de operare. Potrivit [21] se pot distinge patru categorii de cai troieni: deghizări directe, care pretind a fi programe normale; deghizări simple, care nu se deghizează în programe normale, ci pretind a fi alte programe posibile care fac altceva decât spun; deghizări prin asemănare de nume [slip masquerades], programe cu nume care aproximează numele programelor existente; deghizări ˆın mediu, programe care rulează deja, greu de identificat de către utilizator. Ceea ce este de interes aici este prima categorie, a deghizărilor directe. Pentru ca un atacator să poată instala un rootkit el trebuie să aibă acces la nivel de administrator la sistem înainte de a putea instala kit-ul respectiv [12]. Rootkit-urile nu permit obţinerea accesului la sistem, ci dau posibilitatea de a pătrunde în sistem cu permisiuni de nivel maxim (root). O dată obţinut accesul la nivel de administrator, poate fi folosit un cal troian care să se deghizeze într-o funcţie sistem existentă pe sistemul compromis Tipuri de cod pentru procesorul de comenzi (shellcode) şi metode de recunoaştere Discuţia se va restrânge la coduri pentru platforme IA32. Înaintea apariţiei codurilor polimorfice, shellcodes aveau doua secţiuni bine definite: Secţiunea de NOP-uri. Aceasta este secţiunea în care la sări programul în momentul în care se exploatează cu succes o depăşire de zonă tampon. Ea conţine pur şi simplu o mulţime de instrucţiuni NOP. Încărcătura utilă shellcode. Aceasta este secţiunea unde se execută procesorul de comenzi (d.e. /bin/sh), se leagă un procesor de comenzi la un port TCP etc. Această categorie de shellcodes este foarte uşor de detectat. Până nu demult se foloseau frecvent instrucţiuni cu codul 0x90 (NOP) pe platformele IA32 în secţiunea de NOP-uri, astfel că trebuia doar căutată o cantitate de x 0x90-uri pentru a da alarma pentru shellcode. Pe lângă acestea, unele sisteme de detecţie ale intruziunilor (IDS) conţin semnături (de genul /bin/sh) pentru a detecta încărcătura utilă. Dar, o data cu apariţia shellcode polimorfe, tehnica aceasta nu a mai putut fi folosită. Shellcodes polimorfice au trei secţiuni bine definite: Referat de doctorat Universitatea Tehnică din Cluj-Napoca 8

12 2 Tipuri de cod ostil secţiunea de NOP-uri. Această secţiune este aici un amestec aleator de instrucţiuni fara efect cum sunt: inc %eax, inc %ebx, pop %eax, nop, dec %eax etc. Motorul de decriptare. Această secţiune conţine codul necesar pentru decriptarea încărcăturii utile. Motorul respectiv este diferit de la un shellcode la altul, el variind prin folosirea de tehnici polimorfice specifice viruşilor. Cifrul folosit de obicei este un mecanism cu sau-exclusiv sau cu sau-exclusiv dublu. S-ar putea implementa un mecanism de cifrare mai bun (d.e. RJINDAEL), dar atunci shellcode ar creşte la câteva mii de octeti şi nu ar mai putea face nimic util în multe dintre exploatările depăşirilor de zona tampon. Încărcătura shellcode criptată. Acest fel de shellcode este mult mai dificil de detectat, dar nu imposibil. Câteva posibilităţi sunt: Decriptarea încărcăturii shellcode şi detectarea folosind vechile semnături. Aceasta tehnică, folosită de antiviruşi pentru a detecta codul viral poate fi folosita la detecţia acestui fel de shellcode. Această metodă are câteva probleme nerezolvate: Cum sa detectezi dacă încărcătura este criptată? Ce metodă de cifrare foloseşte? Care este cheia/sunt cheile folosite de mecanismul de cifrare? Cheia poate fi spartă prin forţă bruta într-un timp scurt? Folosirea semnăturilor pentru detectarea maşinii de decriptare. Aceasta metodă ar fi mai buna, dar are şi ea câteva probleme: Deoarece maşina de decriptare se modifică singură şi sunt implicate prea multe instrucţiuni, ar fi prea multe semnături de verificat. Pot aparea multe semnalizări fals-pozitive. Sunt necesare prea multe cicluri/timp CPU. Emularea maşinii de decriptare. IDS emulează codul, astfel că dacă găseşte cod care pare a decripta ceva în memorie, ridică alarma pentru shellcode. Aceasta tehnică ridică un număr redus de alarme fals-pozitive, dar are şi ea o slăbiciune majoră: sunt necesare prea multe cicluri/timp CPU. Detectarea secţiunii de NOP-uri. Aceasta tehnică încearcă pur şi simplu să detecteze un număr NOP NUMBER de instrucţiuni inefective. Ea are câteva probleme deoarece generează un număr mare de fals-pozitive, dar prin setarea lui NOP NUMBER la o valoare cuprinsă între 50 şi 60, recunoaşte aproape toate shellcode. Dezavantajele ei sunt: Sunt necesare multe cicluri/timp CPU. Multe alarme fals pozitive pentru valori mici ale NOP NUMBER. Cum unele instrucţiuni fara efect au reprezentări în codul ASCII, şiruri de caractere cum este A repetat de 60 de ori va fi recunoscut ca shellcode. Referat de doctorat Universitatea Tehnică din Cluj-Napoca 9

13 2 Tipuri de cod ostil Tipul de cod ostil Virus Vierme Cod ostil mobil Trape (backdoors) Cai troieni Rootkit-uri la nivel utilizator Rootkit-uri la nivel de nucleu Cod ostil combinat Caracteristici definitorii Infectează un fişier de pe gazdă file. Se auto-replică. De obicei necesită interacţiune cu utilizatorul pentru a se replica (prin deschiderea fişierului, citirea poştei, repornirea sistemului sau executarea unui program infectat). Se răspândeşte prin reţea. Se auto-replică. De obicei nu necesită interacţiune cu utilizatorul pentru a se răspândi. Constă din programe uşoare (lightweight) care sunt încărcate de pe un sistem îndepărtat si executate local cu intervenţie minimă sau de loc din partea utilizatorului. Scrise de obicei în Javascript, VBScript, Java, sau ActiveX. Trec de controalele normale de securitate pentru a oferi acces atacatorului. Se deghizează ca programe utile şi îşi maschează scopul ostil, ascuns. Înlocuiesc sau modifică programele executabile folosite de administratori şi utilizatori Manipulează inima sistemului de operare, nucleul, pentru a ascunde şi crea trape. Combină diferitele tehnici anterioare pentru a-şi spori eficienţa. Tabela 2.1: Tipuri de cod ostil (după [19, p.14]) Referat de doctorat Universitatea Tehnică din Cluj-Napoca 10

14 Cˆateodată găsim ceea ce nu căutăm. Alexander Fleming 3 Metode de detectie 3.1 Elemente detectabile în sisteme de detecţie a intruziunilor şi ziduri antifoc Anomalii Mahoney şi Chan [15; 14] identifică cinci feluri de anomalii în traficul ostil: Comportamentul utilizatorului. Traficul ostil poate avea o adresă sursă noua deoarece provine de la un utilizator neautorizat al unui serviciu restricţionat (protejat prin parolă). De asemenea, sondări de genul ipsweep 1 şi portsweep 2 [9] pot încerca să acceseze calculatoare şi servicii inexistente, generând astfel anomalii ale adreselor destinaţie şi ale numerelor de porturi. 1 O baleiere se supraveghere pentru a determina ce maşini sunt active pe reţea. Informaţia este folositoare pentru a pregăti atacuri şi a cauta maşini vulnerabile. 2 Scanarea mai multor calculatoare în căutarea unui anumit port în starea de ascultare (LISTENING). Folosit în special pentru a cauta un anumit serviciu. 11

15 3 Metode de detectie Exploatarea vulnerabilităţilor. Anomalii ale răspunsurilor. Câteodată o ţintă generează trafic anormal în ieşire ca răspuns la un atac reuşit. De exemplu, acesta este cazul unui server de poştă electronică care a căzut victima unui atac şi care trimite înapoi spre atacator mesajele de la procesorul de comenzi aflat în mod root. Erori ˆın atac.atacatorii trebuie de obicei să-şi implementeze singuri protocolul client; ei nu reuşesc să duplice mediul ţintă fie din neglijenţă, fie fiindcă nu e necesar. Spre exemplu, multe protocoale bazate pe mesaje text (d.e. FTP, SMTP şi HTTP) permit trimiterea comenzilor cu litere mari sau mici. Atacatorul ar putea folosi literele mici, chiar dacă clienţii normali folosesc literele mari.. Evitarea. Atacatorii pot manipula deliberat protocoalele de reţea pentru a ascunde atacurile în raport cu IDS mai slabe care monitorizează nivelul aplicaţie. Astfel de metode includ fragmentarea IP, suprapunerea de segmente TCP care nu se potrivesc, folosirea deliberata de sume de control eronate, valori foarte mici ale TTLA etc. Asemenea evenimente trebuie sa fie rare în traficul normal. Detecţia anomaliilor se bazează pe existenţa unor profile predefinite pentru activitatea normală a utilizatorilor. Activitatea normală este definită pe baza unor modelele statistice Utilizarea improprie Utilizarea improprie se mai cunoaşte si sub numele de detecţie bazată pe semnături, deoarece alarmele de detecţie sunt generate pe baza semnăturilor specifice atacurilor. Aceste semnături cuprind un anumit trafic sau activitate bazata pe activitatea intruzivă obişnuită. De exemplu, în cazul serviciului de , asemenea semnalmente ar fi: schimbările în frecvenţa de recepţie a mesajelor şi schimbarea orelor normale de folosire a serviciului de către utilizator. 3.2 Metode de detecţie utilizabile în IDS şi ziduri antifoc De obicei IDS caută semnături predefinite ale evenimentelor nedorite din traficul de reţea. Regulile din IDS sunt verificate cu pachetele care trec prin senzori. Aceste IDS lucrează ca detectoarele relativ simple de viruşi. Avantajul este că rata de alarme fals pozitive este relativ mică. Dezavantajele sunt: necesitatea adaptării continue a regulilor şi incapacitatea de detecţie a atacurilor noi. O sursă importantă de informaţie sunt borcanele cu miere. Lance Spitzner defineşte termenul de borcan cu miere ca o resursă de securitate a cărei valoare constă în faptul că este sondată, atacată sau compromisă. Resursa respectiva are doar scopul de a atrage atacatorii. Astfel, orice încercare de comunicare cu sistemul este foarte probabil o sondare, o scanare sau un atac. Invers, dacă borcanul cu miere iniţiază orice conexiune spre Referat de doctorat Universitatea Tehnică din Cluj-Napoca 12

16 3 Metode de detectie exterior, acesta este un semnal că sistemul a fost probabil compromis. Se pot asambla mai multe borcane cu miere în reţele numite honeynets[8]. Datorită vastităţii datelor colectate prin ele, honeynets sunt considerate o unealtă utilă pentru a învăţa mai mult despre şabloanele de atac şi comportamentul atacatorului în reţelele de comunicaţie Inspectarea pachetelor Filtrarea pachetelor reprezintă procesul de permitere sau de refuzare a trecerii traficului dintre reţele pe baza informaţiilor din antetele fiecărui pachet de date. Regulile sunt stabilite pe baza informaţiilor din pachet (cf. fig.3.1) Protocol IP sursă IP dest. Port sursă Port dest. Număr secv. Număr ACK cod HTTP GET, FTP PUT etc. Antet IP Antet TCP Date TCP Filtrarea pachetelor Inspecţia dinamică a pachetelor Figura 3.1: Inspectarea/filtrarea pachetelor Avantajele filtrării statice a pachetelor sunt: Supraîncărcare redusă / debit mare, apropiat de cel dat de hardware Relativ ieftine sau chiar gratuite Sunt bune pentru gestiunea traficului Dezavantajele filtrării statice a pachetelor sunt: Permiterea conexiunilor directe între maşini din interior şi clienţi externi. Porţile deschise în perimetrul reţelei rămân permanent deschise. Devin repede ne-gestionabile în medii complexe. Rămân vulnerabile la atacuri cum este falsificarea adresei sursă, dacă nu au fost special configurate să prevină acest lucru. nu ofera autentificarea utilizatorilor. Cel mai evident dezavantaj al filtrării statice a pachetelor este că porţile trebuie să rămână deschise tot timpul pentru a permite trecerea traficului dorit, ceea ce expune calculatoarele interne, cu securitate mai slabă, la atacuri. Inspectarea pachetelor ţinând seama de stare Filtrele de pachete dinamice permit/interzic trecerea pachetelor prin zidurile antifoc pe baza informaţiei din antetul de pachet. După trecerea unei serii de pachete prin zidul antifoc spre destinaţie, acesta interzice trecerea. Referat de doctorat Universitatea Tehnică din Cluj-Napoca 13

17 3 Metode de detectie Filtrarea pachetelor ţinând seama de stare încearcă să sesizeze informaţii din protocoalele de nivel mai înalt şi să adapteze regulile de filtrare pentru a se acomoda nevoilor specifice protocolului respectiv (d.e. conexiuni simulate pentru protocoalele fară conexiune cum sunt serviciile NFS şi RPC). Filtrul de pachete cu stare păstrează informaţii despre starea şi contextul unei sesiuni. tehnologia se poate aplica şi la protocolul UDP prin setarea unei sesiuni virtuale care creează iluzia securităţii acolo unde aceasta nu există. În implementarea originală de la Check Point modulul de inspecţie era amplasat între startul de legătură de date şi stratul de reţea din modelul OSI. Prin adăugarea urmăririi se sporeşte securitatea filtrului de bază, dar nu se face nimic în privinţa conţinutului sau implicaţiilor traficului tratat. Avantajele filtrării dinamice a pachetelor sunt: Deschiderea doar temporară a trecerilor prin zidul antifoc. Suportă aproape orice serviciu. Supraîncărcare redusă / debit mare. Suporta aproape orice serviciu (d.e. FTP trebuie tratat special) Cum filtrele de pachete nu sunt conştiente de aplicaţie, ele pot fi setate să permită trecerea oricărui tip de trafic prin zidul antifoc. Dezavantajele filtrării dinamice sunt: Permit conexiuni directe ale clienţilor externi spre maşini din interior Nu oferă autentificarea utilizatorilor încrederea este acordată unui sistem extern doar pe baza adresei sale de IP Pot permite trecerea oricărui fel de trafic Inspectarea profundă a pachetelor Motoarele DPI (Deep packet inspection) analizează întregul pachet IP şi iau decizii referitoare la trimiterea mai departe a pachetului folosind o logica bazată pe reguli care utilizează fie semnătura fie potrivirea cu expresii regulate. Adică motoarele DPI compară datele din încărcătura utilă a pachetului cu o bază de date care conţine semnături (secvenţe de octeţi) de atac predefinite. În plus, potrivirea statică poate fi completată cu algoritmi statistici sau detecţie pe baza istoricului. Analiza antetelor de pachet poate fi realizata economic de vreme ce poziţiile câmpurilor din antet sunt stabilite de standarde. În schimb, încărcătura utilă este în general nesupusă constrângerilor.din acest motiv, căutarea de şabloane multiple în fluxul de date este o sarcină care costisitoare computaţional. Cerinţa ca aceste scanări sa se efectueze la debitul reţelei necesită cost suplimentar. În plus, datorita caracterului dinamic al bazei de date cu semnături, aceasta trebuie sa fie actualizabilă uşor. În categoria abordărilor promiţătoare ale acestor probleme sunt abordarea bazată pe software din Snort [16] şi una bazată pe hardware FPGA cu filtre bloom [5; 6]. Abordarea lui Dharmapurikar et al. se bazează pe filtrele Bloom structuri de date care stochează compact un set de semnături prin calcularea mai multor funcţii de dispersie Referat de doctorat Universitatea Tehnică din Cluj-Napoca 14

18 3 Metode de detectie pentru fiecare membru al setului. Folosind tehnica respectivă, se interoghează apartenenţa unui anumit şir la un o baza de date de şiruri. Răspunsul poate fi aici fals pozitiv, dar niciodată fals negativ. O proprietate importantă a acestei structuri de date este că timpul de executare a interogării nu depinde de numărul de şiruri din baza de date dacă memoria folosită de structura de date se scalează liniar cu numărul de şiruri pe care le stochează. În plus, cantitatea de memorie necesară filtrului Bloom pentru fiecare şir este independentă de lungimea sa. Semnăturile sunt grupate după lungimea lor în octeţi şi stocate în filtre Bloom paralele. Ori de câte ori un filtru detectează un sir suspect, acesta se trimite unui analizor pentru a decide dacă şirul aparţine într-adevăr unui set dat sau este un fals pozitiv. Metoda DPI poate fi eficientă împotriva atacurilor de tipul depăşire de zona tampon, refuzul servirii, încercări de intruziune relativ sofisticate şi un procent relativ redus de viermi care încap într-un singur pachet. Zou et al.. [23] descriu o metodă de detecţie a tendinţei folosind principiul detecţiei tendinţei în traficul monitorizat, nu a maximului. Detecţia tendinţei se face pe baza faptului că la început viermele se propagă cu o rată exponenţială pozitivă, tendinţa care se detectează fiind această tendinţa de creştere exponenţială a traficului monitorizat. pe baza modelelor dinamice de propagare a viermelui se detectează propagarea viermelui în faza incipientă folosind algoritmi de estimare pentru un filtru Kalman 3 Filtrul este activat atunci când sistemul de monitorizare întâlneşte o creştere semnificativă a activităţilor de scanare nelegitime. În momentul în care rata de infectare estimata de filtrul Kalman se stabilizează aproximativ la o valoare pozitivă constantă autorii susţin că activităţile de scanare nelegitime sunt cauzate în principal de un vierme. Schechter et al..[17] folosesc sistemul WDS (Worm Detection System) care procesează o mică parte din evenimentele din reţea numite cereri de conexiune de prim contact. O asemenea cerere este un pachet (TCP sau UDP) adresat unei gazde cu care emiţătorul nu a comunicat anterior. Chen şi Heidemann [4] prezintă un sistem de detecţie şi păstrare în siguranţă bazat pe ruter, numit DEWP (Detector for Early Worm Propagation). Acesta detectează intruziuni ale viermilor, creează semnaturi şi îi reţine automat. DEWP aplică un algoritm nou de detecţie prin potrivirea numerelor care identifică porturile destinaţie între conexiunile care intră şi cele care ies. Această tehnică simplă surprinde caracteristici importante ale traficului de sondare al viermilor: viermii exploatează de obicei o vulnerabilitate a unui anumite serviciu şi astfel numărul portului destinaţie va fi proeminent în ambele sensuri de trafic din cauza încercării de a infecta cât mai multe sisteme vulnerabile cu putinţă. Pentru a distinge traficul legitim şi sondele viermilor şi a evita alarmele fals pozitive, DEWP numără adresele destinaţie distincte spre porturile suspecte ale conexiunilor care ies (N) şi identifică traficul viermilor atunci când apar creşteri mari ale lui N ( pe baza ipotezei că viermii vor să infecteze cât mai multe sisteme cu putinţă). 3 Filtrul Kalman este un filtru recursiv eficient care estimează starea unui sistem dinamic dintr-o serie de măsurători incomplete şi afectate de zgomot. Referat de doctorat Universitatea Tehnică din Cluj-Napoca 15

19 3 Metode de detectie Scanările repetate ale unui anumit port pot constitui o indicaţie a căutării unei vulnerabilităţi. Majoritatea atacurilor necesită secunde pentru a compromite şi prelua un sistem vulnerabil. Dar poate fi nevoie de săptămâni pentru a analiza şi documenta un asemenea atac [13]. Kruegel et al. [11] prezintă o tehnică nouă de detecţie a anomaliilor destinată sistemelor de detecţie a intruziunilor la nivel de maşină care foloseşte informaţia conţinută în argumentele apelurilor sistem. Mecanismul descris de aceştia este bazat pe analiza specifică aplicaţiei a apelurilor menţionate. Modelele analizează caracteristici precum lungimea şirului argument (determina distribuţia normală a lungimilor), distribuţia caracterelor din aceste şiruri (apelurile conţin în majoritate litere, cifre şi câteva caractere speciale), inferenţa structurală, un căutător de tokeni (care identifică statistic un identificator ca fiind unic sau aparţinând unei enumerări). Sistemul este antrenat în două faze: prima în care se determină profilele apelurilor şi a doua în care se determină valorile pragurilor de anomalie. Borders et al. [2] prezintă un sistem care colaborează cu IDS, menit să sprijine detecţia atacurilor care mimează traficul normal. Sistemul injectează intrare special concepută pentru a determina producerea unei secvenţe cunoscute de cereri în reţea, pe care le compară cu traficul real. Mesajele neaşteptate sunt marcate ca semn de intruziune. Sistemul a fost capabil sa detecteze zece programe din categoria spyware. 3.3 Metode specifice viruşilor Căutarea de secvenţe specifice Căutarea de secvenţe specifice este cea mai simplă metodă pentru detectarea viruşilor din calculatoare [20, p.428]. Metoda foloseşte o secvenţă de octeţi extrasă (un şir) care este tipic virusului, dar care este improbabil să fie găsit în programe neinfectate. Secvenţele extrase din viruşi sunt organizate în baze de date pe care motoarele de căutare a viruşilor le folosesc pentru a scana sistematic zone predefinite din fişiere şi din sistem pentru a detecta viruşii în timpul limitat permis pentru scanare. Într-adevăr, una dintre cele mai dificile sarcini ale unui motor de căutare a viruşilor este folosirea acestui timp limitat (uzual nu mai mult de câteva secunde pe fişier) într-un mod destul de înţelept pentru a reuşi. Un exemplu de asemenea secvenţă, pentru virusul Stoned este, în hexazecimal 0400 B E 07BB C9 8BD1 419C (codul este menit să citească sectorul de boot al dischetelor de până la 4 ori, cu resetare înainte de fiecare încercare). În plus, un asemenea şir ar putea fi capabil să detecteze viruşi strâns înrudiţi care aparţin unei alte familii, diferite. Pe de o parte acest lucru este un avantaj, prin detectarea mai multor viruşi, pe de alta parte poate fi un dezavantaj major din cauza detectării incorecte a unui virus ca fiind virusul Stoned. Astfel, utilizatorul poate crede că are de a face cu un virus relativ inofensiv, iar virusul în cauză să fie unul mult mai distructiv. Problemele de identificare pot duce la consecinţe nedorite. De exemplu, dacă antivi- Referat de doctorat Universitatea Tehnică din Cluj-Napoca 16

20 3 Metode de detectie rusul încearcă să dezinfecteze codul detectat, dar neidentificat. Din cauza faptului că dezinfectările pentru doua familii diferite de viruşi, sau chiar pentru variante minore ale aceluiaşi virus sunt diferite, dezinfecţia poate crea probleme. Caractere pentru specificare globală Caracterele pentru specificare globală sunt adesea suportate de scanerele simple. De obicei, caracterele pentru specificare globală permit neluarea în considerare a unor octeţi sau a unei game de octeţi. Unele scanere permit chiar şi utilizarea expresiilor regulate. Un exemplu de asemenea secvenţă este: 0400 B E 07BB??02 %3 33C9 8BD1 419C. Asemenea secvenţe de caractere de specificare globală sunt adesea suportate la nivel de semiocteţi pentru a permite potrivirea mai exactă a grupurilor de instrucţiuni. Unii viruşi criptaţi din primele generaţii şi chiar viruşii polomorfi pot fi uşor detectaţi pe baza unor asemenea secvenţe. Unul dintre algoritmii care au fost folosiţi pentru potrivire este Boyer-Moore [3, p.91]. Dar, s-a constatat că algoritmul Boyer-Moore nu funcţionează prea bine ˆın IDS de reţea deoarece compararea ˆınapoi poate forţa compararea ˆın afara pachetului, lucru inutil Nepotriviri în secvenţe Nepotrivirile în secvenţe au fost inventate pentru IBM Antivirus. Ele permit ca N octeţi din şir să aibă orice valoare, indiferent de poziţia lor în şir. Spre exemplu, şirul cu un număr de 2 nepotriviri este şablon pentru AA BB A 0B 0C 0D 0E 0F CC DD A 0B 0C 0D 0E 0F EE FF 09 0A 0B 0C 0D 0E 0F 10 Nepotrivirile sunt utile în special la crearea de detecţii generice pentru o familie de viruşi. Dezavantajul acestei metode este scanarea relativ lentă Detecţia generică Detecţia generică caută mai multe sau toate variantele unei familii de viruşi folosind un şir simplu (în unele cazuri detecţie algoritmică, detecţie care necesită cod special pe lângă scanarea standard). Atunci când se cunoaşte mai mult de o variantă de virus, acestea se compară pentru a afla zone de cod comune. Se alege o căutare de şir simplă, şir care să se regăsească în cât mai multe variante posibile. Tipic, un şir generic conţine atât caractere pentru specificare globală cât şi nepotriviri. Referat de doctorat Universitatea Tehnică din Cluj-Napoca 17

21 3.3.4 Funcţii de dispersie 3 Metode de detectie Funcţiile de dispersie desemnează un termen comun pentru tehnicile de rapidizare a algoritmilor de căutare. Evaluarea valorii de dispersie se poate face pe primul octet sau pe cuvinte de 16 sau de 32 biţi din şirul de căutat. Aceasta permite ca octeţii următori să conţină caractere pentru specificare globală. Cercetătorii viruşilor pot controla evaluarea valorii prin selecţia octeţilor de la început pe care să se calculeze valoarea. Spre exemplu, se pot evita primii octeţi care sunt comuni în fişierele normale octeţi de zero. Pentru a fi extrem de rapide unele scanere de şiruri nu acceptă nici un fel de caracter pentru specificare globală. De exemplu, antivirusul australian VET foloseşte şiruri de scanare de 16 octeţi (fără caractere pentru specificare globală) şi o tabelă de dispersie 64Ko şi un registru de deplasare pe 8 biţi. Algoritmul foloseşte fiecare cuvânt de 16 biţi al şirului ca index în tabelă. Algoritmul de dispersie al lui Frans Veldman din TBSCAN permite caractere pentru specificare globală, dar foloseşte două tabele de dispersie şi o listă înlănţuită de şiruri corespunzătoare. Prima tabelă conţine biţi de index pentru cea de a doua. Algoritmul se bazează pe folosirea a patru cuvinte constante de 16 sau 32 biţi ai şirurilor de scanare, care nu au caractere pentru specificare globală Semne de carte Semnele de carte (numite şi octeţi de verificare) sunt o modalitate simplă de garantare a detectării şi dezinfectării mai exacte. De obicei se calculează o distanţă în octeţi între începutul corpului virusului (adesea numit şi octetul zero al corpului) şi şirul de detectare şi se memorează separat în înregistrarea de detectare a virusului. Semnele de carte bune sunt specifice dezinfecţiei virusului. Spre exemplu, în cazul viruşilor de boot, cineva ar prefera să aleagă un set de semne de carte care să pointeze la referinţe ale locaţiilor sectoarelor de boot stocate. Pentru cazul lui Stoned, distanţa între începutul corpului virusului şi şir este de 65 octeţi. Sectorul de boot stocat depinde de mediul pe care este virusul (disc rigid, dischetă), lucru semnalizat prin fanioane Scanarea cap-şi-coadă Scanarea cap-şi-coadă se foloseşte pentru rapidizarea detecţiei prin scanarea doar a începutului şi sfârşitului unui fişier. Spre exemplu, se scanează doar primii şi ultimii 2, 4, sau chiar 8Ko ai fişierului, căutându-se fiecare poziţie posibilă. Acest algoritm este puţin mai bun decât cele folosite în primele implementări ale scanerelor aceste erau similare cu programe gen grep. Din cauza limitării impuse de viteza operaţiilor de I/O au fost căutate metode de reducere a numărului de citiri de pe disc. Deoarece majoritate viruşilor mai vechi fie prefixau, adăugau sau înlocuiau obiecte, scanarea cap-şi-coadă a devenit destul de populară. Referat de doctorat Universitatea Tehnică din Cluj-Napoca 18

22 3 Metode de detectie Scanarea punctului de intrare şi a punctelor fixe Scanarea punctului de intrare şi a punctelor fixe a făcut ca scanerele să fie şi mai rapide. Acest fel de scanere folosesc avantajul cunoaşterii punctelor de intrare ale obiectelor, puncte cum sunt cele disponibile din antetele programelor executabile. În executabilele binare nestructurate cum sunt fişierele COM din DOS, scanerele de acest fel urmăresc diferitele instrucţiuni care transferă controlul (cum sunt instrucţiunile jump şi call) şi încep scanarea la locaţia sper care pointează o astfel de instrucţiune. Deoarece o astfel de locaţie este o ţintă comuna pentru virusi, asemenea scanere au avantaje majore. Alte metode de scanare, cum este scanarea cap-si-coadă trebuie să mascheze şirurile (sau codurile lor de dispersie) la fiecare poziţie a zonei scanate; scanerele cu puncte de intrare au o singură poziţie de mascat: însuşi punctul de intrare. Să considerăm o zonă tampon de 1Ko numită B. Numărul de poziţii de început pentru căutarea unui şir în B este 1024 S, unde S este lungimea celui mai scurt şir de căutat. Chiar daca algoritmul de dispersie al scanerului este atât de eficient încât scanerul are nevoie să execute o căutare completa a şirului la o poziţie data doar 1% din timp, timpul de calcul poate creste repede potrivit cu numărul de şiruri. De exemplu, pentru 1000 de şiruri scanerul ar avea nevoie să verifice 10 potriviri complete pentru fiecare poziţie posibilă. Astfel, valoarea (1024 S) 10 poate fi considerat ca limita minimă de potriviri care sunt necesare. Factorul 1024 S poate fi redus folosind scanarea cu punct fix cu o singură poziţie de potrivire la punctul de intrare, ceea ce reprezintă o diferenţa foarte semnificativă. Dacă pentru punctul de intrare nu există şiruri suficient de bune, atunci se poate folosi scanarea cu punct fix. Scanarea cu punct fix foloseşte câte o poziţie de potrivire pentru fiecare şir. Astfel este posibil să se seteze poziţia de start M (de exemplu, punctul principal de intrare din fişier) şi apoi să se potrivească fiecare şir (sau valoare de dispersie) la poziţiile M + X octeţi distanţa de acest punct fix. Timpul de calcul este redus deoarece valoare lui X este, de obicei 0. În plus se reduce volumul de I/O. Scanerele de a doua generaţie folosesc identificarea exactă şi aproape exactă, ceea ce ajută la rafinarea detecţiei viruşilor şi a altui cod ostil Scanarea inteligentă Scanarea inteligentă a fost introdusă după apariţia kit-urilor mutatoare de viruşi. Astfel de kit-uri lucrează cu fişiere sursă în limbaj de asamblare. Ele încearcă să insereze instrucţiuni fară efect (junk instructions), cum sunt instrucţiunile care nu fac nici o operaţie (NOP instructions). Virusul recompilat arata foarte diferit de original deoarece multe deplasamente se schimbă în virus. Scanarea inteligentă sare peste instrucţiunile gen NOP din programul infectat şi nu reţine asemenea instrucţiuni în semnătura virusului. Se face un efort pentru a alege zona din corpul virusului care nu are referinţe la date sau alte subrutine. Acest lucru îmbunătăţeşte probabilitatea de detectare a unei variante înrudite apropiat a virusului. Tehnica este de asemenea utilă la tratarea viruşilor care apar în forma de text, cum sunt viruşii de macro şi cei din scenarii. Aceşti viruşi pot fi uşor de modificat prin adăugarea de spaţiu alb suplimentar (spaţiu, CR/LF, TAB, etc). Asemenea caractere pot fi eliminate din zonele Referat de doctorat Universitatea Tehnică din Cluj-Napoca 19

23 3 Metode de detectie tampon scanate folosind scanarea inteligentă, lucru care creste capabilităţile de detecţie ale scanerului Detecţia scheletului Detecţia scheletului a fost inventată de Eugene Kaspersky. Metoda are utilitate în special la detecţia familiilor de viruşi de macro. Scanerul parcurge macroinstrucţiunile linie cu linie şi elimină toate elementele neesenţiale împreuna cu spatiile albe. Rezultatul este un schelet al corpului macrodefiniţiei care conţine numai cod esenţial care apare de obicei în viruşii de macrodefiniţii. Apoi această informaţie este folosită pentru detectarea viruşilor rezultatul fiind îmbunătăţirea detectării variantelor din aceeaşi familie Identificarea aproape exactă Identificarea aproape exactă se foloseşte pentru a detecta mai precis viruşii. Spre exemplu, se foloseşte detecţia cu doua şiruri pentru fiecare virus. În cazul virusului Stoned se poate folosi următorul şir rezultat din dezasamblare: 0700 BA80 00CD 13EB 4990 B903 00BA Scanerul poate detecta o varianta a lui Stoned dacă se detectează un şir şi poate refuza să dezinfecteze pentru că acesta poate fi cazul unei variante posibil necunoscute de virus care nu se poate dezinfecta corect. Ori de câte ori sunt găsite ambele şiruri virusul este identificat aproape exact. Cu toate acestea el poate fi o variantă, dar repararea are şanse mai mari să corespundă. Metoda este sigura dacă se folosesc si semne de carte suplimentare. O alta metodă de identificare aproape exacta se bazează pe folosirea unei sume de control (cum este CRC32) pe o zonă aleasă din corpul virusului. Tipic, se alege o zonă din corpul virusului şi se recalculează suma de control a octeţilor din zona respectivă. Avantajul metodei este o mai mare acurateţe datorată lungimii sporite a zonei care poate fi aleasă fără a supraîncărca baza de date a antivirusului. Scanerele de generaţia a doua pot obţine identificarea aproape exactă fără a folosi şiruri pe care să le caute, ci bazându-se pe sume de control criptografice sau valori de dispersie Identificarea exactă Identificarea exactă este singura cale care garantează faptul că scanerul detectează precis variantele de virus. Metoda este de obicei combinată cu tehnici din prima generaţie. Identificarea exacta foloseşte câte zone sunt necasare pentru a calcula o suma de control pentru toţi biţii constanţi din corpul virusului. Pentru aceasta sunt eliminaţi toţi octeţii variabili din corpul virusului şi se creează o hartă a tuturor octeţilor constanţi. Câteva contramăsuri folosite împotriva detecţiei bazate pe analiza semnăturii sunt: criptarea virusului cu o cheie variabilă; generarea polimorfică a rutinei de decriptare; ge- Referat de doctorat Universitatea Tehnică din Cluj-Napoca 20

24 3 Metode de detectie nerarea metamorfică a întregului corp al virusului prin adăugarea, înlăturarea, permutarea şi substituirea de secvenţe de cod; împachetarea Metode de scanare algoritmice termenul scanare algoritmică este puţin derutant, dar în orice caz este larg folosit. Ori de câte ori algoritmul standard al scanerului nu poate trata un virus, trebuie introdus cod nou, specific virusului; termenul algoritm de detecţie specific virusului ar fi deci mai potrivit. Primele implementări ale scanării algoritmice au fost rutine fixe specifice pentru detecţie folosite împreună cu algoritmul de detecţie general. Din cauza interpunerii în cod a unor mici rutine speciale de detecţie specifice unei platforme, codul era greu de portat. Apoi au apărut probleme de stabilitate scanarea algoritmica putea provoca blocarea scanerului din cauza grabei cu care trebuia realizat noul cod. Soluţia s-a dovedit a fi un limbaj de scanare a viruşilor. În forma sa cea mai simplă, un asemenea limbaj permite operaţii de căutare şi citire în obiectele scanate. Astfel, se poate efectua o căutare algoritmică de şir la o anumită locaţie înainte de la începutul sau înapoi de la sfârşitul fişierului, sau de la punctul de intrare; se citesc octeţi cum sunt şablonul unei instrucţiuni call; se calculează locaţia spre care pointează respectiva instrucţiune şi se încearcă potrivirea unor bucăţi de cod, una câte una. Unele scanere, cum este KAV (Kaspersky Anti Virus), au introdus cod obiect ca parte a unei baze de date imbricate pentru detecţia viruşilor. Rutinele de detecţie pentru fiecare virus sunt scrise în cod C portabil, iar codul obiect pentru aceste rutine de detecţie este stocat în baza de date a scanerului. Scanerul implementează un încărcător asemănător celui din sistemul de operare şi editarea de legături pentru toate obiectele folosite la detecţia specifica. Acestea sunt executate unul după altul potrivit unei ordini predefinite. Metoda are ca avantaj performanţele sporite, iar ca dezavantaj riscul de instabilităţi minore din cauza timpului de răspuns mic la apariţia unui nou virus (pot apărea erori de codificare). Pentru a elimina această problemă, scanarea algoritmica este mai recent implementată sub forma de cod portabil asemănător cu Java, folosind o maşina virtuală. Metoda este folosită de Norton AntiVirus şi are avantajul unei mari portabilităţi. Dezavantajul îl reprezintă execuţia relativ lentă a codului portabil în comparaţie cu codul maşina real (chiar de sute de ori mai lentă). Rutinele de detecţie pot fi implementate în limbaje asemănătoare limbajelor de asamblare cu macroinstrucţiuni de nivel înalt. Asemenea rutine pot furniza funcţii de scanare care să caute grupuri de şiruri într-o singura căutare sau pot converti adresele virtuale şi cele fizice ale fişierelor executabile. Totuşi, mai important pentru aceste scanere este să fie optimizate folosind filtrarea. În plus, ca ultimă linie de apărare codul de detecţie poate fi implementat într-un motor de scanare extensibil, folosind cod nativ. În viitor este de aşteptat ca scanerele algoritmice să implementeze un sistem JIT (just-in-time) pentru a compila rutinele bazate pe codul portabil (p-code) pentru arhitecturi reale, în mod asemănător cadrului.net al lui Microsoft Filtrarea Ideea din spatele filtrării este că viruşii infectează de obicei un subset al obiectelor cunoscute. De exemplu, viruşii de boot infectează doar sectorul de boot. Astfel, se poate folosi Referat de doctorat Universitatea Tehnică din Cluj-Napoca 21