基于虛擬機(jī)的內(nèi)核模塊行為分析技術(shù)研究.pdf

1、一方面，互聯(lián)網(wǎng)的快速發(fā)展為我們提供了靈活便捷的通訊手段和豐富多彩的信息資源，以及便利的電子商務(wù)交易平臺(tái)，另一方面，網(wǎng)絡(luò)所面臨的安全問題也越來(lái)越嚴(yán)重。惡意代碼行為分析是檢測(cè)惡意代碼的前提，它為殺毒軟件提供病毒木馬的行為特征，但是傳統(tǒng)行為分析工具本身存在于不安全的系統(tǒng)環(huán)境中，容易受到攻擊或欺騙，基于虛擬機(jī)的惡意代碼行為分析正是為了解決傳統(tǒng)分析工具的缺陷發(fā)展起來(lái)的。
　　本文圍繞基于虛擬機(jī)的惡意代碼行為分析技術(shù)開展研究，針對(duì)現(xiàn)階段缺少內(nèi)

2、核模塊行為分析的缺陷，研究?jī)?nèi)核模塊行為分析技術(shù)，主要貢獻(xiàn)和創(chuàng)新點(diǎn)為：
　　（1）提出一種基于“In-VM”思想的內(nèi)核模塊行為分析模型?，F(xiàn)階段，針對(duì)內(nèi)核模塊行為分析研究較少，主要原因有：一是所有的內(nèi)核模塊共享同一個(gè)內(nèi)核空間，具有相同的系統(tǒng)權(quán)限；二是內(nèi)核函數(shù)分散，無(wú)法使用傳統(tǒng)的函數(shù)HOOK等方法來(lái)監(jiān)視其行為。本文利用虛擬化技術(shù)的優(yōu)勢(shì)，VMM（Virtual machine monitor）運(yùn)行在客戶操作系統(tǒng)（Guest OS）的下層，

3、具有更高的運(yùn)行權(quán)限，以此來(lái)監(jiān)視客戶系統(tǒng)中的行為。本文利用“In-VM”的思想來(lái)隔離待分析的內(nèi)核模塊，分析其篡改系統(tǒng)關(guān)鍵數(shù)據(jù)或運(yùn)行系統(tǒng)函數(shù)的行為。
　　（2）研究自動(dòng)化的內(nèi)核模塊惡意行為判別方法。在已知內(nèi)核模塊行為的前提下，如何自動(dòng)化地判別該模塊是否包含惡意行為是一個(gè)重點(diǎn)，本文從內(nèi)核數(shù)據(jù)和內(nèi)核函數(shù)兩個(gè)方面展開研究，分析關(guān)鍵數(shù)據(jù)區(qū)并實(shí)施保護(hù)，對(duì)高危險(xiǎn)行為實(shí)施報(bào)警；監(jiān)控高危型函數(shù)的執(zhí)行過(guò)程，基于函數(shù)流來(lái)判斷是否存在惡意行為。
　　

4、（3）實(shí)現(xiàn)了基于“In-VM”思想的內(nèi)核模塊分析原型系統(tǒng)。本文在 KVM的基礎(chǔ)上實(shí)現(xiàn)了上述原型系統(tǒng)，利用VMM的虛擬機(jī)內(nèi)存機(jī)制在客戶系統(tǒng)內(nèi)核中建立一個(gè)隔離的地址空間，待分析內(nèi)核模塊運(yùn)行于該隔離空間中，其篡改系統(tǒng)關(guān)鍵數(shù)據(jù)或運(yùn)行系統(tǒng)函數(shù)的行為都可以被監(jiān)視。實(shí)驗(yàn)表明該原型系統(tǒng)能夠分析 DKOM行為、HOOK行為、系統(tǒng)函數(shù)執(zhí)行等等。
　　本文的研究得到湖南省教育廳產(chǎn)業(yè)化項(xiàng)目（11CY018)的支持，對(duì)提高惡意代碼的分析能力和檢測(cè)能力具有重