對抗環(huán)境敏感技術的代碼脫殼方法.pdf

1、加殼技術是保護軟件知識產(chǎn)權的常用方法，但是常被惡意代碼用來躲避殺毒軟件的檢測，因此對脫殼技術的研究是惡意代碼分析的重要部分。當前已有很多有效的脫殼技術，例如定向脫殼技術、通用脫殼技術等。但是基于環(huán)境敏感技術的反脫殼方法，給現(xiàn)有的脫殼方法造成了很大的干擾。環(huán)境敏感技術先對執(zhí)行環(huán)境進行檢測，如果當前環(huán)境“危險”，則終止加殼程序的運行，這使得以動態(tài)執(zhí)行為基礎的通用脫殼工具難以實現(xiàn)脫殼功能，而定向脫殼工具又缺乏通用性，難以對使用經(jīng)過修改的加殼算

2、法的惡意代碼進行有效脫殼。
　　 本文提出了對抗環(huán)境敏感技術的代碼脫殼方法，并開發(fā)了原型系統(tǒng)MalUnpack。本方法首先對環(huán)境敏感信息打污點標簽，并使用動態(tài)污點追蹤技術記錄加殼程序執(zhí)行軌跡中的污點傳播過程；然后，利用中間語言對記錄的污點傳播過程進行形式化表示，并收集和推理其中的條件約束，得到環(huán)境污點信息同脫殼行為的依賴關系；之后，使用反向分析和二進制代碼插裝技術，修改加殼程序中對應的條件跳轉指令，清除加殼程序的環(huán)境敏感性，使動

3、態(tài)脫殼工具能夠提取加殼程序中被隱藏的代碼。為了證明該方法的有效性，本文在BitBalze平臺的基礎上實現(xiàn)了MalUnpack原型系統(tǒng)，并對大量的加殼惡意代碼樣本進行實驗。實驗結果表明，該方法能夠有效地識別并清除加殼代碼的環(huán)境敏感性，其脫殼效果明顯優(yōu)于現(xiàn)有的脫殼工具.
　　 本文提出的對抗環(huán)境敏感技術的脫殼方法使用動態(tài)分析和靜態(tài)分析相結合的方式，檢測并清除加殼程序的環(huán)境敏感性，解決了環(huán)境敏感技術對現(xiàn)有脫殼工具的干擾。該方法為受環(huán)境