指令級惡意代碼動態(tài)監(jiān)控平臺的研究與實現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全領(lǐng)域越來越受到人們的關(guān)注和重視。在該領(lǐng)域中，惡意代碼的威脅日趨嚴(yán)重，而新的惡意代碼又層出不窮。因此，惡意代碼分析技術(shù)的研究意義重大。惡意代碼分析技術(shù)主要有兩大關(guān)鍵技術(shù)，即行為監(jiān)控技術(shù)和行為分析技術(shù)。行為監(jiān)控技術(shù)是行為分析甚至惡意代碼分析的基礎(chǔ)，它為行為分析提供了重要信息和數(shù)據(jù)源。當(dāng)前研究或已采用的主要監(jiān)控技術(shù)有虛擬機仿真，API掛鉤以及API跟蹤等。虛擬機仿真實現(xiàn)復(fù)雜，且資源消耗很大，而后兩者隱蔽性較差

2、，難以躲過當(dāng)前各種惡意代碼的反分析、反調(diào)試技術(shù)。同時，傳統(tǒng)的行為分析技術(shù)往往采用人工手動方式。因此當(dāng)前迫切需要具有高效、可靠的惡意代碼自動化分析系統(tǒng)。 在這種契機下，本文主要探索一種易于進行自動化分析的惡意代碼行為監(jiān)控方法，研究如何提供一個高效、隱蔽、安全的惡意代碼動態(tài)監(jiān)控平臺。該平臺主要提供一組相關(guān)接口，供惡意代碼自動化分析系統(tǒng)調(diào)用，進行二次開發(fā)，從而完成惡意代碼分析，為普通用戶和網(wǎng)絡(luò)安全專家提供強有力的分析工具。 本

3、文首先結(jié)合當(dāng)前分析技術(shù)，提出基于二進制程序的動態(tài)執(zhí)行監(jiān)控技術(shù)，它利用代碼切片技術(shù)對二進制程序切片處理，不依賴于對匯編指令的模擬執(zhí)行，具有快速的執(zhí)行效率；在研究已知惡意代碼各種自保護技術(shù)和反分析、反調(diào)試技術(shù)的基礎(chǔ)上，設(shè)計具有隱蔽性的調(diào)試引擎，以利于整個監(jiān)控平臺的隱蔽性，并提供有效地監(jiān)控機制；研究實現(xiàn)一個操作系統(tǒng)資源級虛擬執(zhí)行環(huán)境，它提供一個滿足計算機故障容忍和入侵容忍的，輕量級地真實且隔離的可執(zhí)行環(huán)境；根據(jù)上述各種技術(shù)和設(shè)計思想，實現(xiàn)了惡