二進(jìn)制程序行為檢測分析平臺.pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展和應(yīng)用范圍的不斷擴(kuò)大,信息安全越來越成為政府,企業(yè)和個(gè)人所關(guān)注的焦點(diǎn)。近年來,以病毒、蠕蟲、木馬、后門和rootkit等為主要形式的惡意程序正成為這一范疇內(nèi)的主要研究課題。如何應(yīng)對日益泛濫的惡意程序并有效地檢測出它們的樣本是所有研究里的重中之重。
　　 新型的惡意程序除了具備攻擊性與破壞性等傳統(tǒng)特性外,更開發(fā)出了多樣性,隱蔽性和自我保護(hù)性等新型特性,并以此獲得了更為強(qiáng)大的攻擊力和生存能力。如何有效地瓦解惡

2、意程序所使用的代碼迷惑,加殼以及反調(diào)試技術(shù)已成為公認(rèn)的難點(diǎn)。與此同時(shí)惡意程序的檢測技術(shù)也呈出現(xiàn)不斷發(fā)展的趨勢,出現(xiàn)了動(dòng)態(tài)特征碼掃描、虛擬機(jī)查毒、行為特征識別等方法,但是這些方式方法中最成熟,利用也最廣泛的還是傳統(tǒng)的基于特征碼的檢測技術(shù)。
　　 因此,如何有效地對抗目前惡意程序所擁有的新型特性,準(zhǔn)確地檢測出某個(gè)程序是否符合惡意程序的規(guī)范,并彌補(bǔ)當(dāng)前檢測技術(shù)的不足成為了本文的研究目的。為達(dá)到以上目標(biāo),本文提出了一個(gè)基于動(dòng)態(tài)分析的行為

3、檢測平臺,通過設(shè)置隱蔽的監(jiān)視斷點(diǎn)來捕獲二進(jìn)制程序運(yùn)行時(shí)所執(zhí)行的各種行為,同時(shí)廣泛地調(diào)研當(dāng)前惡意程序的行為規(guī)范來構(gòu)造行為規(guī)則庫,從而通過規(guī)則匹配的方式來判定該程序的行為是否符合某些惡意行為的標(biāo)準(zhǔn),最后對該程序的威脅度進(jìn)行評定并輸出綜合結(jié)論。
　　 該平臺最重要的特性就是能夠有效應(yīng)對當(dāng)前惡意程序所使用的隱蔽和反檢測技術(shù),針對惡意程序的多樣性,隱蔽性和自我保護(hù)性提出相應(yīng)的檢測方案。本文的主要工作內(nèi)容如下:
　　 1.重點(diǎn)研究當(dāng)

4、今惡意程序所普遍使用的反檢測技術(shù),從而對癥下藥:
　　 2.從靜態(tài)分析與動(dòng)態(tài)分析兩方面來介紹目前檢測惡意程序的主要方法,提出每種方法的局限與不足并嘗試給出可能的解決方案;
　　 3.針對當(dāng)前惡意程序所使用的技術(shù)和安全檢測所存在的不足給出基于動(dòng)態(tài)分析二進(jìn)制程序行為的檢測方案,該方案繼承了動(dòng)態(tài)檢測的優(yōu)點(diǎn)并能在一定程度上彌補(bǔ)其不足;
　　 4.給出二進(jìn)制程序行為檢測分析平臺的概要設(shè)計(jì)和詳細(xì)設(shè)計(jì),描述整個(gè)平臺的運(yùn)行流程,