揭秘恶意软件如何使安全分析工具变成睁眼瞎容易

我们为大家揭秘恶意软件作者如何使安全分析工具变成睁眼瞎。

将结合北京实际充分论证。但可以明确的是 检测虚拟测试环境

反恶意软件的研究者在过去几年中广泛使用的工具之一就是虚拟化。在虚拟环境中执行恶意软件的分析有很多好处，包括：易于维护多个虚拟机（配置不同的操作系统和补丁等级），使用快照/复位机制等。

对此，恶意软件的作者们也开始准备应对，已经开始检测虚拟化，进而调整其行为，或者拒绝运行（如果检测到了虚拟机，恶意代码就会拒绝解包）等。

对于反恶意软件的厂商来说，最好的方法是使用自己私有的虚拟化机制，以此作为一种避免虚拟机检测的方式。

JavaScript的模糊代码

在过去的几年中，将JavaScript的模糊代码用于对浏览器的攻击已经成为一种魔法。随着安全厂商强化其自动分析Web威胁的技术（例如，使用脱机的签名开发），恶意软件厂商也日益使用智能技术来粉碎这种分析。

下面我们分析安全分析师如何破解JavaScript模糊代码，以及恶意软件作者如何应对。

正邪较量

以前，反恶意软件的分析师无需费很大劲就可以找出模糊的JavaScript代码。例如，在下面的例子中，可以找到多行模糊化的JavaScript部分。分析师解码这些部分的诀窍，就是允许脚本将模糊化的代码解码为变量txt，然后再用其它的东西来替换eval（txt）。反病毒的厂商们能够快速地开发出自动分析工具来对付这种模糊代码。

问题在于，分析师必须在执行代码并捕获它之前就对解码部分做出改变。而恶意软件的作者对这个漏洞会迅速做出响应。

例如，依赖于JavaScript的内部特性，恶意代码的作者能够将解码函数自身的特性用作解码过程的一部分，所以对解码函数的任何变更都会使其停止运行。自查是某些编程语言的特性，即潜在地具有修改用此语言编写的软件的能力。在JavaScript中，解码函数能够检查其自身的字符长度，甚至可以用这个值作为解码算法的一部分，所以对调整其长度功能的任何改变都会破坏其解码的能力。此外，脚本还可以利用更广泛的自查功能来监视对其自身的修改。