基于內(nèi)核對象的動態(tài)惡意代碼檢測.pdf

1、隨著互聯(lián)網(wǎng)的發(fā)展，越來越多的惡意代碼產(chǎn)生并攻擊人們的計算機系統(tǒng)，影響了人們的正常生活。盡管現(xiàn)在已經(jīng)存在一些惡意代碼檢測技術(shù)，但是隨著惡意代碼種類的增加以及傳播速度的提升，這些技術(shù)的檢測能力以及抗攻擊力越來越不能滿足人們的需求，因此需要提出具有更高效率以及檢測效果的惡意代碼檢測技術(shù)。
　　目前主要有動態(tài)以及靜態(tài)惡意代碼檢測技術(shù)這兩種類型的檢測方法。然而靜態(tài)惡意代碼檢測技術(shù)會受加殼、混淆等反分析技術(shù)影響，而動態(tài)的檢測技術(shù)直接運行樣本并

2、捕獲樣本運行時的行為，不會受這些反分析技術(shù)的影響。
　　內(nèi)核對象是內(nèi)核中的一個內(nèi)存塊，具體地說，其是一個數(shù)據(jù)結(jié)構(gòu)，并且在其中保存著和對象相關(guān)的信息。而大多數(shù)惡意樣本的主要惡意行為都是通過操控內(nèi)核對象實現(xiàn)的，所以將內(nèi)核對象引入惡意代碼檢測具有很大的意義。而現(xiàn)在的很多基于圖的檢測方法中使用的都是系統(tǒng)調(diào)用行為圖，不僅會引入一些與惡意行為無關(guān)的噪音而且對混淆技術(shù)的抵抗力較弱。
　　本文實現(xiàn)了一種基于內(nèi)核對象的動態(tài)惡意代碼檢測技術(shù)。具

3、體實現(xiàn)過程如下所述：本文使用動態(tài)污點分析技術(shù)監(jiān)控樣本在運行時污點在各個內(nèi)核對象之間的傳播路徑，并捕獲內(nèi)核對象之間的依賴關(guān)系以及各個內(nèi)核對象的對象屬性等信息，將這些信息存入結(jié)果文件。解析結(jié)果文件并在此基礎(chǔ)上構(gòu)建內(nèi)核對象行為圖，之后使用圖聚類方法為每個惡意家族構(gòu)建一個公共行為圖，并使用圖的匹配得到相應(yīng)的檢測結(jié)果。本文方法具有較高檢測率以及較低誤報率等特點，其檢測效果相比一些基于系統(tǒng)調(diào)用依賴圖的方法具有一定的提高。并且本文在二進(jìn)制分析平臺Bi