基于沙箱技術(shù)的惡意代碼分析系統(tǒng)的設(shè)計與實現(xiàn).pdf

1、隨著信息技術(shù)的發(fā)展和互聯(lián)網(wǎng)的普及，人們的工作生活越來越離不開網(wǎng)絡(luò)，同時惡意代碼對計算機系統(tǒng)和網(wǎng)絡(luò)的威脅也日益嚴重，造成的危害越來越大。惡意代碼已經(jīng)不再是最初以出名為目的，現(xiàn)在更多的轉(zhuǎn)向通過不正當手段來獲取個人隱私、攫取非法利益，而且惡意代碼也成為了國家和政治組織之間達到政治目的的一種手段。稅務(wù)系統(tǒng)的信息化已經(jīng)有了長足的發(fā)展，但也同樣面臨著病毒、蠕蟲、木馬等惡意代碼的威脅。目前惡意代碼的制作人員的知識越來越豐富，采用的技術(shù)越來越高超，非常

2、難以防御，因此惡意代碼的檢測和分析成為信息安全領(lǐng)域中非常重要的防御手段。
　　 本文首先介紹了惡意代碼的發(fā)展歷史，種類、采用的技術(shù)以及目前惡意代碼的防御技術(shù)，并且介紹了惡意代碼的分析技術(shù):靜態(tài)分析和動態(tài)分析技術(shù)，通過對兩種方法的分析對比，認為動態(tài)分析技術(shù)是今后惡意代碼分析的主要發(fā)展方向。沙箱技術(shù)即虛擬機技術(shù)，在虛擬機中運行可執(zhí)行程序不會對實體主機造成影響并且可以回滾到初始狀態(tài)，所以沙箱技術(shù)可以應(yīng)用到惡意代碼的行為分析當中。本文采

3、用沙箱技術(shù)構(gòu)建了一個惡意代碼分析系統(tǒng)，其中采用了內(nèi)核Hook技術(shù)、虛擬機技術(shù)、驅(qū)動編程、內(nèi)核調(diào)制技術(shù)等。實現(xiàn)了系統(tǒng)監(jiān)控、虛擬機控制、進程的獲取和監(jiān)控、文件、注冊表、驅(qū)動和網(wǎng)絡(luò)監(jiān)控以及日志分析模塊。對惡意程序的各種行為進行監(jiān)控，并將監(jiān)控結(jié)果進行數(shù)據(jù)過濾和分析以給出可視化的分析結(jié)果，實現(xiàn)其監(jiān)控和分析過程的自動化。
　　 經(jīng)過測試，本系統(tǒng)可以對惡意代碼的各種惡意行為能夠得出較為準確的分析，能夠為研究惡意代碼的行為特征提供特征庫，為惡意