【51CTO.com 獨家特稿】Zero Wine是一個開源的(GPL v2)研究項目，用來對惡意軟件的行為進(jìn)行動態(tài)分析。實際上，Zero Wine只是使用WINE在一個安全的虛擬沙箱(也就是在一個隔離的環(huán)境中）運行惡意軟件來收集該程序調(diào)用的API的有關(guān)信息。Wine使用調(diào)試環(huán)境變量WINEDEBUG來輸出惡意軟件調(diào)用過的API，當(dāng)然也包括惡意軟件所傳遞的值。有了這些信息，惡意軟件的行為分析將變得非常輕松。

一、工作原理

Zero Wine是作為QEMU的虛擬機映像發(fā)行的，它帶有一個已安裝的Debian操作系統(tǒng)。這個虛擬機映像包括加載和分析惡意軟件并根據(jù)收集到的信息生成報告的軟件，該軟件位于/home/malware/zerowine。通過正確的命令行選項運行該虛擬機，可以使用一個基于web的圖形界面（一個使用Python語言編寫的CGI）來加載要分析的惡意軟件。

加載一個新的惡意軟件的時候，會將其復(fù)制到/tmp/vir/MD5_OF_THE_FILE目錄，以前創(chuàng)建的WINE環(huán)境會被刪除，并對一個備份系統(tǒng)進(jìn)行解壓縮，該備份系統(tǒng)是/home/malware/backup/backup.tar.gz。加載后，會通過shell腳本malware_launcher.sh來執(zhí)行這個惡意軟件，此shell腳本存儲在/home/malware/bin文件夾中。

需要注意的是，當(dāng)前系統(tǒng)不允許一次分析一個以上的惡意軟件，將來每當(dāng)加載一個新的惡意軟件文件的時候，它會放入一個隊列以供今后分析之用，并且還將創(chuàng)建一個新的WINEPREFIX專門用于運行這個惡意軟件。

二、使用QEMU運行虛擬機

使用QEMU運行虛擬機時必須提供一些必要的參數(shù)，最重要的一個參數(shù)就是 -redir tcp:8000::8000。這個參數(shù)將本地8000端口重定向到該虛擬機的8000端口。當(dāng)然，您可以改變這個端口，不過要注意，在基于Unix/Linux的系統(tǒng)中不應(yīng)該在端口80上運行它，因為這要求root權(quán)限，這會帶來巨大的安全隱患：想像一下如果惡意軟件逃離虛擬機并掌控了您的實際系統(tǒng)后會怎樣。

當(dāng)該虛擬機結(jié)束引導(dǎo)處理（基于Debian的操作系統(tǒng)的引導(dǎo)時間通常需要2分鐘左右）后，可以用您的瀏覽器導(dǎo)航至http://localhost:8000。您將看到如下所示的一個web頁面：

圖1

現(xiàn)在可以通過該Web接口將測試文件（通常為PE格式）加載到虛擬機，指定超時時間，就可以讓Zero Wine分析該程序的行為了。稍等片刻，就會受到如下所示的報告摘要：

圖2

三、相關(guān)報告的介紹

分析結(jié)束時，會出現(xiàn)一個帶有四個鏈接的報告摘要頁面，這些鏈接分別是“report”、“Strings”、“Headers”和“Signature”。關(guān)于這些報告我們將在下面進(jìn)行分別介紹。

完整的報告

我們首先有介紹的是“Report”鏈接，這是由WINE生成的一份完整的原始跟蹤文件。 這個文件通常很大，并且也不太容易讀，因為其中包含了WINE本身調(diào)用的大量應(yīng)用程序接口以及惡意軟件調(diào)用的應(yīng)用程序接口，不過它對于全面理解程序到底做了些什么卻是很有幫助的。以下是病毒MyTob的一個示例報告，我們看到這的確很長，并且讀起來很晦澀：

圖3

一般說來，其中的大量API調(diào)用都是WINE的內(nèi)部調(diào)用，這些對我們的分析工作沒有多大用處，并且對我們來說通常是枯燥無味的。請記住，雖然這些調(diào)用看上去很枯燥，但是卻可能對分析的惡意軟件的理解有所裨益。

關(guān)于字符串報告

Linux命令“strings”的輸出。為了便于了解惡意軟件，有時候您可以探索一些字符串、URL等等。以下是一個例子(MyTob)：

圖4

關(guān)于文件頭報告

這個報告展示了使用PEIdSignatures的特征碼找出的用于給該程序加殼的工具（如果有的話），以及利用開源的程序庫PEFile對給定PE程序分析得到的一份詳盡輸出。生成的報告類似于下圖：

圖5

在本例中，頭部似乎是遭到了破壞，這說明惡意軟件試圖給反匯編制造困難。

關(guān)于特征碼報告

這個是當(dāng)惡意軟件運行后，由Zero Wine生成的最有趣的報告 這個報告展示了最令人感興趣的API調(diào)用和值。下面的例子很容易理解：

圖6

“Signature”報告告訴我們，該惡意軟件創(chuàng)建了互斥鎖“H-E-L-L-B-O-T”(進(jìn)程標(biāo)識符0009)，并且將自身復(fù)制到 c:\windows\system32\msmgrxp.exe，然后，執(zhí)行了這個文件(process 0018)。惡意軟件的這個副本將檢查互斥鎖“H-E-L-L-B-O-T”，如果該互斥鎖業(yè)已存在，則將該二進(jìn)制文件拷貝到c:\\funny_pic.scr及其它地方。

有了上面的這些報告，編寫一份簡單的行為報告已經(jīng)不成問題。

四、加殼軟件

總的說來，Zero Wine能夠較好地運行惡意軟件，然而，當(dāng)它遇到加殼軟件時就會出現(xiàn)各種問題，例如wine幾乎總是無法對付被Armadillo 加過殼的PE程序；并且，有時候“Report”和“Signature”這兩個部分會同時收不到任何數(shù)據(jù)。好在“Headers”和“Strings”報告部分總能提供二進(jìn)制文件（盡管不是惡意軟件的行為）的有關(guān)信息。

五、對于Zero Wine的檢測

對于WINE 環(huán)境的檢測其實很簡單。例如，可以通過注冊表項HKLM\Software\Wine或者HKCU\Software\Wine來檢測它。同時還可以檢查所有的Windows關(guān)鍵系統(tǒng)文件的文件大小來進(jìn)行檢測。當(dāng)運行在WINE中的時候，這些文件會小得令人難以置信，但是同樣的文件在實際的Windows系統(tǒng)中卻具有碩大的身軀。另外一種“高級”檢測技術(shù)是，打開任意一個關(guān)鍵的Windows系統(tǒng)文件，并反編譯入口點。當(dāng)運行在WINE中的時候，反編譯后將得到如下所示的一些簡單指令：

.text:10001000 public start

.text:10001000 start proc near

.text:10001000 mov eax, 1

.text:10001005 retn 4

.text:10001005 start endp

對于比較懶惰的人來說，只需在.text:10001000中搜索二進(jìn)制串B8 01 00 00 00 C2 04 00就可以了。

六、使用Zero Wine的危險性

首先請記住，在自己的計算機上運行惡意軟件絕不是一個好主意。如果可能的話，要盡量將虛擬機（或物理機器）與現(xiàn)實世界隔離開來。有時候，我們迫不得已允許惡意軟件連接現(xiàn)實世界，但請記住，這樣做可能傷及無辜。更重要的是，您還必須記住，即使把WINE的沙箱配置成只能使用C盤，但是對于一個能夠逸出WINE沙箱的惡意軟件來說，它不僅能夠跑到C盤之外，還能夠波及您的物理計算機以及整個網(wǎng)絡(luò)。

七、結(jié)束語

Zero Wine是一個開源的(GPL v2)研究項目，用來對惡意軟件的行為進(jìn)行動態(tài)分析。Zero Wine只是使用WINE在一個安全的虛擬沙箱(也就是在一個隔離的環(huán)境中）運行惡意軟件來收集該程序調(diào)用的API的有關(guān)信息。Wine使用調(diào)試環(huán)境變量WINEDEBUG來輸出惡意軟件調(diào)用過的API，當(dāng)然也包括惡意軟件所傳遞的值。有了這些信息，惡意軟件的行為分析將變得非常輕松。

本文詳細(xì)介紹了Zero Wine的工作原理以及使用方法，并對Zero Wine生成的報告進(jìn)行了相應(yīng)的解釋，最后介紹了在使用Zero Wine過程中需要注意的問題，希望本文對您的工作學(xué)習(xí)能夠有所幫助。

【51CTO.COM 獨家特稿，轉(zhuǎn)載請注明出處及作者！】

【編輯推薦】

1. 惡意軟件反檢測技術(shù)簡介：反調(diào)試技術(shù)解析
2. 惡意軟件反檢測技術(shù)簡介：模擬器超限技術(shù)
3. 安全專家詳談：對付惡意軟件的策略及方法