指令級(jí)惡意代碼動(dòng)態(tài)監(jiān)控平臺(tái)的研究與實(shí)現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全領(lǐng)域越來越受到人們的關(guān)注和重視。在該領(lǐng)域中，惡意代碼的威脅日趨嚴(yán)重，而新的惡意代碼又層出不窮。因此，惡意代碼分析技術(shù)的研究意義重大。惡意代碼分析技術(shù)主要有兩大關(guān)鍵技術(shù)，即行為監(jiān)控技術(shù)和行為分析技術(shù)。行為監(jiān)控技術(shù)是行為分析甚至惡意代碼分析的基礎(chǔ)，它為行為分析提供了重要信息和數(shù)據(jù)源。當(dāng)前研究或已采用的主要監(jiān)控技術(shù)有虛擬機(jī)仿真，API掛鉤以及API跟蹤等。虛擬機(jī)仿真實(shí)現(xiàn)復(fù)雜，且資源消耗很大，而后兩者隱蔽性較差

2、，難以躲過當(dāng)前各種惡意代碼的反分析、反調(diào)試技術(shù)。同時(shí)，傳統(tǒng)的行為分析技術(shù)往往采用人工手動(dòng)方式。因此當(dāng)前迫切需要具有高效、可靠的惡意代碼自動(dòng)化分析系統(tǒng)。 在這種契機(jī)下，本文主要探索一種易于進(jìn)行自動(dòng)化分析的惡意代碼行為監(jiān)控方法，研究如何提供一個(gè)高效、隱蔽、安全的惡意代碼動(dòng)態(tài)監(jiān)控平臺(tái)。該平臺(tái)主要提供一組相關(guān)接口，供惡意代碼自動(dòng)化分析系統(tǒng)調(diào)用，進(jìn)行二次開發(fā)，從而完成惡意代碼分析，為普通用戶和網(wǎng)絡(luò)安全專家提供強(qiáng)有力的分析工具。 本

3、文首先結(jié)合當(dāng)前分析技術(shù)，提出基于二進(jìn)制程序的動(dòng)態(tài)執(zhí)行監(jiān)控技術(shù)，它利用代碼切片技術(shù)對(duì)二進(jìn)制程序切片處理，不依賴于對(duì)匯編指令的模擬執(zhí)行，具有快速的執(zhí)行效率；在研究已知惡意代碼各種自保護(hù)技術(shù)和反分析、反調(diào)試技術(shù)的基礎(chǔ)上，設(shè)計(jì)具有隱蔽性的調(diào)試引擎，以利于整個(gè)監(jiān)控平臺(tái)的隱蔽性，并提供有效地監(jiān)控機(jī)制；研究實(shí)現(xiàn)一個(gè)操作系統(tǒng)資源級(jí)虛擬執(zhí)行環(huán)境，它提供一個(gè)滿足計(jì)算機(jī)故障容忍和入侵容忍的，輕量級(jí)地真實(shí)且隔離的可執(zhí)行環(huán)境；根據(jù)上述各種技術(shù)和設(shè)計(jì)思想，實(shí)現(xiàn)了惡