自修改代碼逆向分析方法研究.pdf_第1頁(yè)
已閱讀1頁(yè),還剩119頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、惡意代碼(Malicious code,Malware)已成為互聯(lián)網(wǎng)安全的主要威脅。隨著計(jì)算機(jī)的普及和互聯(lián)網(wǎng)的發(fā)展,惡意代碼造成的危害也越來(lái)越嚴(yán)重。為了提高對(duì)惡意代碼造成的網(wǎng)絡(luò)攻擊的應(yīng)急響應(yīng)速度,我們必須對(duì)惡意代碼做出快速有效的分析。惡意代碼分析的目的是提取惡意代碼執(zhí)行時(shí)表現(xiàn)出的行為(runtime behavior)、解析其意圖及其實(shí)現(xiàn)機(jī)理,為惡意代碼的檢測(cè)和清除提供參考。而惡意代碼作者為了對(duì)惡意代碼進(jìn)行保護(hù),加大惡意代碼分析的難度,

2、往往通過(guò)加密、變形和加殼等多種技術(shù)手段隱藏自身代碼特征,阻礙惡意代碼機(jī)理分析和特征提取,躲避惡意代碼檢測(cè)。傳統(tǒng)分析方法難以有效解決針對(duì)受保護(hù)的惡意代碼的分析問(wèn)題。 針對(duì)惡意代碼分析與軟件安全測(cè)評(píng)等業(yè)務(wù)的需要,本文重點(diǎn)分析了典型惡意代碼軟件保護(hù)關(guān)鍵技術(shù)以及惡意代碼分析技術(shù)的最新進(jìn)展,深入研究了典型自修改代碼(Self-Modifying Code,SMC)的實(shí)現(xiàn)機(jī)理,在此基礎(chǔ)上,針對(duì)典型SMC提出了一種基于硬件模擬器的逆向分析方法

3、,取得以下幾個(gè)方面的研究成果: (1)深入分析了典型SMC的實(shí)現(xiàn)機(jī)理,并初步建立了SMC模型。我們根據(jù)動(dòng)態(tài)生成代碼①的生成方式、修改模式以及存儲(chǔ)模式等因素,首次對(duì)SMC作了初步的分類和建模,為后續(xù)的SMC分析方法奠定了基礎(chǔ)。 (2)提出了一種基于硬件模擬器的可執(zhí)行文件中動(dòng)態(tài)生成代碼的識(shí)別與提取方法。本方法通過(guò)在模擬器中單步執(zhí)行目標(biāo)可執(zhí)行文件,并通過(guò)截獲虛擬系統(tǒng)執(zhí)行指令,使用影子內(nèi)存監(jiān)控程序執(zhí)行過(guò)程中的內(nèi)存寫操作以及控制轉(zhuǎn)

4、移指令等信息,識(shí)別提取程序執(zhí)行過(guò)程中動(dòng)態(tài)釋放到內(nèi)存中并得到執(zhí)行的代碼,獲取分析目標(biāo)的數(shù)據(jù)信息。由于在硬件模擬器中對(duì)可執(zhí)行文件進(jìn)行動(dòng)態(tài)分析,數(shù)據(jù)采集是通過(guò)模擬硬件實(shí)現(xiàn),而不是將惡意代碼放在真實(shí)的CPU上執(zhí)行,因此對(duì)實(shí)際系統(tǒng)不造成任何影響。 (3)提出了一種基于硬件模擬器的動(dòng)態(tài)鏈接庫(kù)中動(dòng)態(tài)生成代碼的識(shí)別與提取方法。本方法在模擬器中使用動(dòng)態(tài)鏈接庫(kù)加載程序引導(dǎo)加載動(dòng)態(tài)鏈接庫(kù),設(shè)置單步執(zhí)行標(biāo)志,僅使目標(biāo)動(dòng)態(tài)鏈接庫(kù)文件中的指令在模擬器中單步

5、執(zhí)行,通過(guò)觸發(fā)動(dòng)態(tài)鏈接庫(kù)中入口點(diǎn)等函數(shù)的執(zhí)行,并通過(guò)截獲虛擬系統(tǒng)執(zhí)行指令,使用影子內(nèi)存監(jiān)控動(dòng)態(tài)鏈接庫(kù)中代碼執(zhí)行過(guò)程中的內(nèi)存寫操作以及控制轉(zhuǎn)移指令等信息,識(shí)別提取其執(zhí)行過(guò)程中動(dòng)態(tài)釋放到內(nèi)存中并得到執(zhí)行的代碼,獲取分析目標(biāo)的數(shù)據(jù)信息。 (4)提出一種基于二進(jìn)制文件重構(gòu)的自修改代碼分析方法。我們針對(duì)不同類型的SMC提出了相應(yīng)的重構(gòu)方法,即在不改變其代碼行為的前提下將提取的動(dòng)態(tài)生成代碼恢復(fù)到原二進(jìn)制文件中,生成完整的、可直接靜態(tài)分析或運(yùn)

6、行的二進(jìn)制文件。以此為基礎(chǔ),分析人員可利用傳統(tǒng)分析方法對(duì)其進(jìn)一步分析,提高了針對(duì)SMC的逆向分析能力。本方法原理簡(jiǎn)單,易實(shí)現(xiàn),且具有較好的通用性,不僅適用于可執(zhí)行文件,而且適用于動(dòng)態(tài)鏈接庫(kù)。 (5)提出了一種基于代碼覆蓋的多路徑分析方法?;诖a覆蓋的多路徑分析方法重點(diǎn)解決了對(duì)循環(huán)代碼的處理問(wèn)題,通過(guò)標(biāo)識(shí)判斷條件節(jié)點(diǎn),減少局部路徑被重復(fù)遍歷的次數(shù),在保證分析效果的同時(shí),提高分析系統(tǒng)的分析效率以及代碼覆蓋率。 (6)設(shè)計(jì)實(shí)

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論