針對惡意代碼的連續(xù)內(nèi)存鏡像分析技術研究.pdf

1、如何有效地檢測惡意代碼的行為并根據(jù)其行為找出抵御惡意代碼的方法一直是信息安全領域研究的一個重點。傳統(tǒng)的靜態(tài)和動態(tài)的惡意代碼檢測方法都存在檢測粒度較粗等缺點，為了更加全面的檢測惡意代碼的行為，提出連續(xù)內(nèi)存鏡像分析技術并將其運用于惡意代碼的分析中。
　　設計了一種方法，在QEMU虛擬機沙箱中運行惡意代碼樣本，并連續(xù)獲取樣本運行一段時間內(nèi)的虛擬機內(nèi)存鏡像，然后按照獲取時的邏輯，將所獲取的基礎和增量虛擬機內(nèi)存鏡像解析為各個時期完整的內(nèi)存鏡

2、像。在單個內(nèi)存鏡像分析的基礎上，對不同時刻內(nèi)存鏡像做對比分析，從而獲取在惡意代碼生命周期中關鍵內(nèi)核對象諸如進程、注冊表、服務、網(wǎng)絡連接等的變化，從而獲取系統(tǒng)狀態(tài)的改變，提取出惡意代碼的行為及其對系統(tǒng)的影響。同時設計了一個針對內(nèi)存數(shù)據(jù)的可視化，運用可視化工具D3.js，以圖形化的形式動態(tài)地展示惡意代碼生命周期中系統(tǒng)內(nèi)存狀態(tài)的改變，直觀、有效地展示連續(xù)內(nèi)存鏡像分析的結果。
　　實現(xiàn)了原型系統(tǒng)，并對典型樣本Sentry_MBA在內(nèi)的40