基于VMware的惡意程序分析技術(shù).pdf

1、惡意程序的頻現(xiàn)使得網(wǎng)絡(luò)信息安全形勢(shì)日益嚴(yán)峻，其變形逃避技術(shù)的不斷升級(jí)也使分析檢測(cè)變得愈加困難。本文在學(xué)習(xí)當(dāng)前惡意程序檢測(cè)技術(shù)及虛擬機(jī)相關(guān)技術(shù)的基礎(chǔ)上，提出了一個(gè)綜合分析檢測(cè)模型，結(jié)合多種檢測(cè)分析工具，通過在不同階段對(duì)程序代碼的認(rèn)真分析，提取出不同的特征，并采取逐步分類的方式最大程度上正確分類惡意程序，為后面采取相應(yīng)的處理措施提供依據(jù)。主要做了以下一些工作：
　　1.基于虛擬機(jī)技術(shù)提出了一個(gè)綜合分析模型。鑒于當(dāng)前惡意程序變形技術(shù)的復(fù)

2、雜化，本文提出的模型將對(duì)程序的預(yù)處理作為第一個(gè)單獨(dú)的模塊重點(diǎn)進(jìn)行分析，對(duì)程序進(jìn)行脫殼解密處理，呈現(xiàn)程序的本來面目，方便后續(xù)的分析。同時(shí)本模型在靜態(tài)分析和動(dòng)態(tài)分析的基礎(chǔ)上，加入了綜合分析模塊用于對(duì)分析檢測(cè)比較困難的惡意程序進(jìn)行分析檢測(cè)。
　　2.給出了新的特征提取方法。本文提出了在預(yù)處理階段提取程序的基本信息，在靜態(tài)分析階段提取程序的函數(shù)特征和在動(dòng)態(tài)分析階段提取程序的行為特征的方法。一方面這樣提取的特征信息比較完整，另一方面這些特征

3、更能準(zhǔn)確表現(xiàn)程序的功能，便于做出正確的判斷。
　　3.提出了分步分類綜合衡量的思路。以往的方法都是在可疑程序檢測(cè)分析的基礎(chǔ)上最后做一個(gè)分類，本文提出了分步分類的思路，即在對(duì)可疑程序檢測(cè)分析的靜態(tài)、動(dòng)態(tài)和最后綜合階段分別進(jìn)行分類，這樣既能實(shí)現(xiàn)對(duì)可疑程序的快速分類，提高檢測(cè)效率，節(jié)省分析成本，又能根據(jù)每個(gè)可疑程序的復(fù)雜程度對(duì)其做出最大限度的正確分類。
　　4.針對(duì)各模塊給出了不同的分類方法。靜態(tài)、動(dòng)態(tài)模塊根據(jù)各自提取特征的特點(diǎn)設(shè)