基于函數(shù)監(jiān)控的惡意程序行為捕獲研究與實(shí)現(xiàn).pdf

1、當(dāng)下，我們的生活與互聯(lián)網(wǎng)聯(lián)系非常緊密，我們?cè)谙硎芫W(wǎng)絡(luò)生活便利的同時(shí)，也在面臨著互聯(lián)網(wǎng)上惡意程序傳播所帶來的網(wǎng)絡(luò)安全問題。以高級(jí)持續(xù)威脅為代表的新型惡意程序能夠突破傳統(tǒng)的安全解決方案，給國家、社會(huì)、企業(yè)、個(gè)人的網(wǎng)絡(luò)安全都帶來了極大的危害，因此對(duì)未知文件惡意性的分析研究已經(jīng)是惡意程序研究的重點(diǎn)和難點(diǎn)。
　　本文給出了一種基于函數(shù)監(jiān)控的惡意程序行為自動(dòng)化分析方法。分析了惡意程序行為與API之間關(guān)系，利用QEMU開源模擬器構(gòu)建封閉的樣本分

2、析環(huán)境，采用惡意程序動(dòng)態(tài)分析技術(shù)，在虛擬機(jī)監(jiān)控層中實(shí)現(xiàn)了在樣本動(dòng)態(tài)運(yùn)行過程中，對(duì)樣本調(diào)用API序列及其參數(shù)的捕獲。在捕獲的API調(diào)用序列的基礎(chǔ)上，給出了一種自動(dòng)化行為抽象方法，并對(duì)其進(jìn)行了實(shí)驗(yàn)和結(jié)果分析。
　　分析了惡意程序與API之間的關(guān)系，利用QEMU以基本塊為單位的翻譯執(zhí)行流程，修改了虛擬機(jī)監(jiān)控層，實(shí)現(xiàn)了對(duì)惡意程序運(yùn)行過程中調(diào)用API序列及其參數(shù)信息的動(dòng)態(tài)捕獲。QEMU使用了動(dòng)態(tài)二進(jìn)制翻譯技術(shù)，完成了對(duì)不同指令集之間的翻譯工

3、作，同時(shí)在以基本塊為單位翻譯執(zhí)行的流程中，使用語義重構(gòu)技術(shù)消除了 QEMU內(nèi)部數(shù)據(jù)與操作系統(tǒng)之間的語義鴻溝，從語義上理解并區(qū)分了進(jìn)程、線程、API以及參數(shù)信息。同時(shí)從惡意程序多樣性的特點(diǎn)上出發(fā)，在語義中引入注入進(jìn)程、非PE進(jìn)程、后續(xù)分析等概念，實(shí)現(xiàn)了對(duì)注入進(jìn)程、非PE文件進(jìn)程的監(jiān)控，完善了以進(jìn)程為監(jiān)控單位的API捕獲方法。
　　深入理解API序列之間的相關(guān)關(guān)系，給出了一種從API到行為的自動(dòng)化抽象方法。根據(jù)應(yīng)用程序行為的特點(diǎn)，給出

4、了兩種行為，即基本行為和高階行為?；拘袨槭窃趩蝹€(gè)API的基礎(chǔ)上抽象成相應(yīng)的簡單行為。高階行為是在基本行為的基礎(chǔ)上，充分理解API之間的與、或、順序等相關(guān)關(guān)系，同時(shí)定義API之間的組合關(guān)系，利用多個(gè)API實(shí)現(xiàn)對(duì)高級(jí)行為的抽象。行為抽象過程中，需要經(jīng)過提取關(guān)鍵函數(shù)、存儲(chǔ)關(guān)鍵參數(shù)、參數(shù)的轉(zhuǎn)換與合成等步驟，最終給出行為分析報(bào)告。
　　本文主要對(duì)API調(diào)用序列的捕獲以及行為抽象兩個(gè)方面進(jìn)行了重點(diǎn)研究。在工程中，給出了一種基于函數(shù)監(jiān)控的惡意