基于操作虛擬化及時(shí)序邏輯的惡意代碼分析.pdf

1、惡意代碼通過多種傳播手段，感染文檔文件，破壞系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行，嚴(yán)重威脅系統(tǒng)及信息安全，竊取個(gè)人隱私及商業(yè)秘密，甚至通過非法手段獲取經(jīng)濟(jì)利益和軍事機(jī)密。因此，惡意代碼攻擊成為目前倍受關(guān)注的安全問題，為了實(shí)現(xiàn)對惡意代碼的識別與預(yù)防，為受害系統(tǒng)提供及時(shí)的損失評估及信息恢復(fù)，基于行為的惡意代碼分析技術(shù)成為目前惡意代碼分析工作的研究熱點(diǎn)，而如何提高惡意代碼分析工作的效率及行為分析的準(zhǔn)確性是工作的重點(diǎn)，具有重要的現(xiàn)實(shí)意義。
　　 基于行

2、為的惡意代碼分析方法通常采用虛擬機(jī)或仿真系統(tǒng)作為惡意代碼的執(zhí)行環(huán)境，通過監(jiān)控惡意代碼運(yùn)行時(shí)調(diào)用的系統(tǒng)API函數(shù)進(jìn)行惡意代碼的行為分析及惡意性的判定，并通過系統(tǒng)快照對執(zhí)行環(huán)境進(jìn)行狀態(tài)回滾，為下一次分析提供一個(gè)“干凈”的系統(tǒng)環(huán)境。然而，虛擬機(jī)或仿真系統(tǒng)所提供的執(zhí)行環(huán)境易被某些惡意代碼檢測出來，從而使分析工作無法正常完成。并且，基于系統(tǒng)快照的回滾方式較為耗時(shí)，影響分析工作的效率。在基于API調(diào)用序列的惡意代碼行為分析方面，現(xiàn)有的方法只考慮了對

3、惡意代碼操作之間的單一的前后調(diào)用關(guān)系的描述，而惡意代碼在實(shí)際操作中存在多種相關(guān)關(guān)系，如時(shí)序關(guān)系、主客體關(guān)系等，若不能完整地描述這些操作間的關(guān)系，勢必會影響惡意代碼分析的準(zhǔn)確率。
　　 針對上述不足，本文提出操作虛擬化的方法，該方法為惡意代碼的運(yùn)行提供真實(shí)的系統(tǒng)環(huán)境，保證惡意代碼的執(zhí)行環(huán)境不被檢測出來，從而使惡意代碼能夠正常的運(yùn)行，使分析工具能夠獲取完整而真實(shí)的API調(diào)用序列。該方法通過直接刪除惡意操作的執(zhí)行痕跡來實(shí)現(xiàn)系統(tǒng)狀態(tài)的快

4、速回滾。實(shí)驗(yàn)證明，該方法能夠有效的提高惡意代碼分析工作的效率。同時(shí)，本文提出一種基于時(shí)序邏輯的惡意代碼行為分析方法。該方法引入時(shí)序邏輯，形式化的描述惡意代碼操作之間的多個(gè)相關(guān)關(guān)系，實(shí)現(xiàn)對惡意代碼行為更為精確地描述，并設(shè)計(jì)相應(yīng)的行為判定算法對目標(biāo)文件的行為的惡意性進(jìn)行判斷。使用惡意文件、正常文件及部分已知惡意代碼的變種組成的數(shù)據(jù)集對本方法的有效性進(jìn)行測試，實(shí)驗(yàn)證明，該方法能夠?qū)崿F(xiàn)精確的惡意行為描述，有效地判定惡意代碼及其變種的惡意性行為，

5、判定準(zhǔn)確性高，且誤報(bào)率低，與現(xiàn)有的主流惡意代碼分析產(chǎn)品相比，在惡意操作的獲取及分析方面更加詳細(xì)和精確。
　　 基于上述方法，本文設(shè)計(jì)實(shí)現(xiàn)了惡意代碼行為自動分析系統(tǒng)OV_MAS，該系統(tǒng)通過任務(wù)分派器依次打開或運(yùn)行目標(biāo)文件，使用內(nèi)核級代碼操作監(jiān)控器對目標(biāo)文件在運(yùn)行時(shí)調(diào)用的重要的Native API函數(shù)進(jìn)行監(jiān)控，獲取API調(diào)用序列，并通過行為檢測引擎和惡意行為庫對目標(biāo)文件的行為進(jìn)行惡意性判定與分析，最后給出分析報(bào)告，其中包括被認(rèn)為具有