資源描述:
《自動(dòng)的惡意代碼動(dòng)態(tài)分析系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).pdf》由會(huì)員上傳分享,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫�����。
1��、小型微型計(jì)算機(jī)系統(tǒng)2009年7月第7期JournalofChineseComputerSystemsVol.30No.72009自動(dòng)的惡意代碼動(dòng)態(tài)分析系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)12管云濤,段海新1(清華大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)系,北京100084)2(清華大學(xué)信息網(wǎng)絡(luò)工程研究中心,北京100084)E-mail:guanyt06@mails.tsinghua.edu.cn摘要:現(xiàn)代的惡意代碼采用多態(tài)和加殼等方法來隱藏自己,使得惡意代碼的分析檢測變得越來越困難.傳統(tǒng)的手工分析需要耗費(fèi)大量時(shí)間和人力,不能滿足惡意代碼分析的需要.本文設(shè)計(jì)實(shí)現(xiàn)的自動(dòng)化惡意
2�����、代碼動(dòng)態(tài)分析系統(tǒng)MwDAS,可以自動(dòng)地對惡意代碼樣本進(jìn)行快速的動(dòng)態(tài)分析,通過KernelHooking和FilterDriver技術(shù)在內(nèi)核態(tài)提取其行為特征,生成詳細(xì)的分析報(bào)告.實(shí)驗(yàn)結(jié)果表明MwDAS可以提高惡意代碼的分析效率.關(guān)鍵詞:動(dòng)態(tài)分析;靜態(tài)分析;惡意代碼;網(wǎng)絡(luò)安全中圖分類號:TP393.08文獻(xiàn)標(biāo)識碼:A文章編號:1000-1220(2009)07-1326-05DesignandImplementationofanAutomatedMalwareDynamicAnalysisSystem12GUANYun-tao,DUANH
3�����、ai-xin1(DepartmentofComputerScience&Technology,TsinghuaUniversity,Beijing100084,China)2(NetworkResearchCenter,TsinghuaUniversity,Beijing100084,China)Abstract:Withtheapplicationofpolymorphism,metamorphismandpackingtechniques,theanalysisanddetectionofmodernmalwarebecomesm
4���、oredifficult.Manualmalwareanalysisfailstohandlethissituationduetoitsunacceptablecostandhumanforceinvolvement.TheauthordesignandimplementanautomatedmalwaredynamicanalysissystemnamedMwDASusingkernelhookingandfilterdrivertechnologies,whichcanautomaticallyanalyzemalwaresamp
5�、le,extractanddetailmalware?sbehaviorsintoawell-organizedreport.TheexperimentshowsthatMwDAScandramaticallyimprovetheanalysisefficiency.Keywords:dynamicanalysis;staticanalysis;malware;networksecurity1引言本文設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)惡意代碼自動(dòng)化動(dòng)態(tài)分析系統(tǒng)MwDAS,該系統(tǒng)在受保護(hù)的虛擬環(huán)境中對惡意代碼進(jìn)行自隨著互聯(lián)網(wǎng)的發(fā)展,作為互聯(lián)網(wǎng)一大威脅-惡
6����、意代碼也在動(dòng)的動(dòng)態(tài)分析,通過內(nèi)核級的Hook和過濾驅(qū)動(dòng)技術(shù)監(jiān)視其運(yùn)不斷的發(fā)展,現(xiàn)代惡意代碼逐漸開始由最初的以破壞為目的行時(shí)的行為活動(dòng),包括對注冊表訪問���、文件系統(tǒng)訪問、進(jìn)程操轉(zhuǎn)向以信息竊取為目的,Symantec第12期網(wǎng)絡(luò)完全威脅報(bào)作和網(wǎng)絡(luò)訪問,分析結(jié)束時(shí)生成一份詳盡的分析報(bào)告,可以提[1]告顯示惡意攻擊的專業(yè)性和商業(yè)性開始增加,如在被攻破高惡意代碼分析效率.的用來進(jìn)行地下交易的服務(wù)器中,用來進(jìn)行信用卡和銀行帳戶交易的分別占22%和21%,攻擊趨利化明顯[2,3].這種轉(zhuǎn)變2惡意代碼分析技術(shù)使得惡意代碼開始注意自身的隱藏.本文主要研究
7���、Win32平臺下的可執(zhí)行惡意代碼.現(xiàn)代的惡意代碼通過多態(tài)�����、變型�、加密等手段來規(guī)避分析惡意代碼分析的主要目的是明確惡意代碼的行為特性并檢測以達(dá)到延長自身生命周期的目的,使得惡意代碼的特征提取特征碼為下一步的惡意代碼檢測和控制清除提供依據(jù),碼分析越來越困難.同時(shí)一些惡意代碼自動(dòng)生成工具的出現(xiàn)因此惡意代碼分析是否可以快速有效地進(jìn)行是降低惡意代碼和攻擊代碼的公開使得惡意攻擊變得簡單化,呈現(xiàn)出模塊化危害的關(guān)鍵一步.目前的分析方法可以分為靜態(tài)分析和動(dòng)態(tài)[1]的趨勢.這些特點(diǎn)使得惡意代碼手工分析越來越不適應(yīng)分分析兩大類.析的需求.2.1靜態(tài)分析動(dòng)態(tài)
8�����、分析通過在受控的環(huán)境中執(zhí)行惡意代碼來分析其行靜態(tài)分析[4]不實(shí)際運(yùn)行惡意代碼,而是通過對惡意代碼為特征,因而不受多態(tài)����、變型、加密等手段的影響,可以用來對的二進(jìn)制文件進(jìn)行分析,提取特征碼.這種特征碼可直接被掃惡意代碼進(jìn)行快
