動態(tài)數(shù)據(jù)流分析技術(shù)在惡意軟件分析中的應(yīng)用研究.pdf

1、惡意軟件是攻擊者破壞或者竊取目標(biāo)系統(tǒng)信息的一種黑客工具，對信息系統(tǒng)的安全構(gòu)成了極大的威脅。對惡意軟件分析技術(shù)的研究可用于網(wǎng)絡(luò)邊界防護(hù)、信息系統(tǒng)安全防護(hù)以及研究針對性的溯源技術(shù)。現(xiàn)階段使用的主要分析技術(shù)，是采用靜態(tài)反匯編分析以及以調(diào)試技術(shù)為主的動態(tài)分析，依賴人工分析，效率較低。此外，采用掛鉤系統(tǒng)函數(shù)方式實(shí)現(xiàn)的沙箱分析技術(shù)也是一種常用的惡意軟件分析的方法，但得到的多是一些諸如網(wǎng)絡(luò)通信端口以及API調(diào)用等離散的信息，難以清晰描述程序執(zhí)行中的數(shù)

2、據(jù)處理過程。隨著大量新的惡意軟件不斷出現(xiàn)，需要更有針對性的技術(shù)以提高分析效率。
　　本文針對現(xiàn)有惡意軟件分析技術(shù)方法存在的主要問題，引入了動態(tài)二進(jìn)制插樁技術(shù)和動態(tài)污點(diǎn)傳播分析技術(shù)。惡意軟件的行為很多是圍繞數(shù)據(jù)進(jìn)行的，針對數(shù)據(jù)在程序中處理過程的分析十分重要。動態(tài)二進(jìn)制插樁分析方法具有方便編程自定義分析程序動態(tài)運(yùn)行過程的特點(diǎn)，在二進(jìn)制程序執(zhí)行流程的監(jiān)視和分析以及二進(jìn)制程序中數(shù)據(jù)流的分析方面可以減少人工分析工作量;基于動態(tài)二進(jìn)制插樁技術(shù)

3、的動態(tài)污點(diǎn)傳播分析也可以與API監(jiān)視結(jié)合，通過定義分析過程實(shí)現(xiàn)數(shù)據(jù)流監(jiān)視的自動化。
　　本文深入分析了特洛伊木馬的加殼保護(hù)機(jī)制以及協(xié)議處理機(jī)制，設(shè)計(jì)和實(shí)現(xiàn)了針對軟件保護(hù)的原始入口點(diǎn)判斷程序和基于Pin動態(tài)二進(jìn)制插樁框架的二進(jìn)制污點(diǎn)傳播分析程序，驗(yàn)證了針對特洛伊木馬協(xié)議通過數(shù)據(jù)流處理過程澄清其協(xié)議格式的分析方法的有效性。通過分析軟件惡意后門行為并進(jìn)行模型描述，設(shè)計(jì)和實(shí)現(xiàn)了一個(gè)利用污點(diǎn)傳播技術(shù)實(shí)現(xiàn)軟件運(yùn)行時(shí)敏感流監(jiān)視的軟件后門行為分析