基于動態(tài)二進制分析的惡意代碼行為完整性分析技術研究.pdf

1、隨著互聯網的快速發(fā)展，惡意代碼的種類和數量在不斷增多，其編寫、傳播和利用呈現出趨利化、商業(yè)化和組織化的態(tài)勢，對互聯網安全構成重大威脅。在惡意代碼分析領域主要存在靜態(tài)分析和動態(tài)分析兩種分析方法，由于靜態(tài)分析方法難以有效應對變形和混淆處理的惡意代碼，實際分析中大多采用動態(tài)分析方法。惡意代碼行為完整性分析是惡意代碼動態(tài)分析中的難點問題，其對于獲取惡意代碼完整行為信息、實現病毒防護以及研究相應地反制措施具有重要意義。
　　本文首先介紹了惡

2、意代碼行為完整性分析的概念、研究意義及發(fā)展現狀，針對現有的惡意代碼多路徑分析方法中存在的路徑爆炸、內存泄露、分析效率低以及強制修改分支路徑導致的程序崩潰等問題，提出動態(tài)構建惡意代碼執(zhí)行環(huán)境進行行為完整性分析的方法。本文完成的主要工作包括：
　　1.提出了一種基于動靜結合的惡意代碼環(huán)境數據提取方法。通過使用靜態(tài)分析和動態(tài)分析相結合的方法提取惡意代碼內部存在的字符串型環(huán)境數據，同時為了確定數據的環(huán)境類型，提取過程中進行字符串引用分析和

3、函數類型判別，對于無法確定環(huán)境類型的數據使用決策樹對其進行分類處理，最后對所有數據進行整理優(yōu)化用于環(huán)境構建。
　　2.提出了一種基于數據流跟蹤的惡意代碼敏感環(huán)境識別方法。通過引入數據流跟蹤技術，建立惡意代碼感知獲取的環(huán)境信息與代碼執(zhí)行路徑選擇之間的關聯關系，并依據不同的環(huán)境信息類型，使用不同的方法獲取環(huán)境完善所需的環(huán)境數據以及控制流改變所需的配置信息。
　　3.提出了一種基于虛擬機鏡像選擇的動態(tài)環(huán)境構建方法。通過使用提取出的

4、環(huán)境信息，從預先制作的虛擬機鏡像群中選擇合適的虛擬機鏡像作為基礎執(zhí)行環(huán)境，并使用軟件默認
　　安裝、模擬構建特殊環(huán)境以及配置文件導入等方法進行環(huán)境完善，獲得惡意代碼最佳執(zhí)行環(huán)境。
　　4.設計并實現了基于動態(tài)二進制分析平臺 Pin的惡意代碼行為完整性分析系統Scindapsus aureus，并選用多款不同類型的惡意代碼進行了系統測試。測試結果表明，該系統可以有效提高惡意代碼行為分析的完整程度，同時相比于現有的多路徑分析方法