惡意代碼虛擬執(zhí)行分析系統(tǒng)的研究.pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，惡意代碼變種和新型惡意代碼呈現(xiàn)爆發(fā)式增長(zhǎng)，互聯(lián)網(wǎng)安全問(wèn)題日趨嚴(yán)重。因此，惡意代碼遏制技術(shù)的研究意義重大，惡意代碼分析技術(shù)是惡意代碼遏制技術(shù)中的一項(xiàng)關(guān)鍵技術(shù)。通過(guò)分析惡意代碼的數(shù)據(jù)和行為，可以生成唯一標(biāo)記該惡意代碼的特征，使用該特征可以快速遏制惡意代碼。惡意代碼分析人員面對(duì)的是二進(jìn)制程序，對(duì)其的分析技術(shù)主要有兩類：靜態(tài)二進(jìn)制分析技術(shù)和動(dòng)態(tài)二進(jìn)制分析技術(shù)。在惡意代碼分析和反分析的對(duì)抗中，靜態(tài)二進(jìn)制分析技術(shù)的應(yīng)用限制

2、越來(lái)越大，現(xiàn)今主要采用動(dòng)態(tài)二進(jìn)制分析技術(shù)。
　　目前的動(dòng)態(tài)二進(jìn)制分析技術(shù)有指令模擬器、程序調(diào)試、程序沙箱、虛擬機(jī)軟件。指令模擬器采用軟件模擬CPU來(lái)進(jìn)行指令執(zhí)行，運(yùn)行效率極低；程序調(diào)試需要分析人員的全程參與，無(wú)法實(shí)現(xiàn)分析的自動(dòng)化；程序沙箱強(qiáng)制隔離資源，容易被檢測(cè)到，在檢測(cè)到沙箱后惡意代碼會(huì)立即停止惡意行為；虛擬機(jī)軟件解決了指令模擬的效率問(wèn)題，但由于面向的是CPU指令，因此虛擬機(jī)軟件無(wú)法針對(duì)具體程序進(jìn)行監(jiān)控分析。
　　針對(duì)上述

3、問(wèn)題，本文提出了一種具有較高自動(dòng)化程度的惡意代碼虛擬執(zhí)行分析方法。具體的說(shuō)，本文提出將指令動(dòng)態(tài)編譯和指令本地執(zhí)行相結(jié)合，實(shí)現(xiàn)對(duì)惡意代碼程序指令的虛擬執(zhí)行，在此基礎(chǔ)上通過(guò)腳本文件實(shí)現(xiàn)對(duì)程序指令自動(dòng)化監(jiān)控分析方式的控制。
　　本論文的主要研究工作如下：
　　1.深入研究現(xiàn)有各種類型惡意代碼的攻擊技術(shù)，分析現(xiàn)有惡意代碼二進(jìn)制分析技術(shù)和現(xiàn)有分析軟件存在的缺陷；
　　2.詳細(xì)討論了基于指令動(dòng)態(tài)編譯的惡意代碼虛擬執(zhí)行分析系統(tǒng)（即B