資源描述:
《自動的惡意代碼動態(tài)分析系統(tǒng)的設(shè)計與實現(xiàn).pdf》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1、小型微型計算機系統(tǒng)2009年7月第7期JournalofChineseComputerSystemsVol.30No.72009自動的惡意代碼動態(tài)分析系統(tǒng)的設(shè)計與實現(xiàn)12管云濤,段海新1(清華大學(xué)計算機科學(xué)與技術(shù)系,北京100084)2(清華大學(xué)信息網(wǎng)絡(luò)工程研究中心,北京100084)E-mail:guanyt06@mails.tsinghua.edu.cn摘要:現(xiàn)代的惡意代碼采用多態(tài)和加殼等方法來隱藏自己,使得惡意代碼的分析檢測變得越來越困難.傳統(tǒng)的手工分析需要耗費大量時間和人力,不能滿足惡意代碼分析的需要.本文設(shè)計實現(xiàn)的自動化惡意
2、代碼動態(tài)分析系統(tǒng)MwDAS,可以自動地對惡意代碼樣本進行快速的動態(tài)分析,通過KernelHooking和FilterDriver技術(shù)在內(nèi)核態(tài)提取其行為特征,生成詳細(xì)的分析報告.實驗結(jié)果表明MwDAS可以提高惡意代碼的分析效率.關(guān)鍵詞:動態(tài)分析;靜態(tài)分析;惡意代碼;網(wǎng)絡(luò)安全中圖分類號:TP393.08文獻標(biāo)識碼:A文章編號:1000-1220(2009)07-1326-05DesignandImplementationofanAutomatedMalwareDynamicAnalysisSystem12GUANYun-tao,DUANH
3、ai-xin1(DepartmentofComputerScience&Technology,TsinghuaUniversity,Beijing100084,China)2(NetworkResearchCenter,TsinghuaUniversity,Beijing100084,China)Abstract:Withtheapplicationofpolymorphism,metamorphismandpackingtechniques,theanalysisanddetectionofmodernmalwarebecomesm
4、oredifficult.Manualmalwareanalysisfailstohandlethissituationduetoitsunacceptablecostandhumanforceinvolvement.TheauthordesignandimplementanautomatedmalwaredynamicanalysissystemnamedMwDASusingkernelhookingandfilterdrivertechnologies,whichcanautomaticallyanalyzemalwaresamp
5、le,extractanddetailmalware?sbehaviorsintoawell-organizedreport.TheexperimentshowsthatMwDAScandramaticallyimprovetheanalysisefficiency.Keywords:dynamicanalysis;staticanalysis;malware;networksecurity1引言本文設(shè)計并實現(xiàn)了一個惡意代碼自動化動態(tài)分析系統(tǒng)MwDAS,該系統(tǒng)在受保護的虛擬環(huán)境中對惡意代碼進行自隨著互聯(lián)網(wǎng)的發(fā)展,作為互聯(lián)網(wǎng)一大威脅-惡
6、意代碼也在動的動態(tài)分析,通過內(nèi)核級的Hook和過濾驅(qū)動技術(shù)監(jiān)視其運不斷的發(fā)展,現(xiàn)代惡意代碼逐漸開始由最初的以破壞為目的行時的行為活動,包括對注冊表訪問、文件系統(tǒng)訪問、進程操轉(zhuǎn)向以信息竊取為目的,Symantec第12期網(wǎng)絡(luò)完全威脅報作和網(wǎng)絡(luò)訪問,分析結(jié)束時生成一份詳盡的分析報告,可以提[1]告顯示惡意攻擊的專業(yè)性和商業(yè)性開始增加,如在被攻破高惡意代碼分析效率.的用來進行地下交易的服務(wù)器中,用來進行信用卡和銀行帳戶交易的分別占22%和21%,攻擊趨利化明顯[2,3].這種轉(zhuǎn)變2惡意代碼分析技術(shù)使得惡意代碼開始注意自身的隱藏.本文主要研究
7、Win32平臺下的可執(zhí)行惡意代碼.現(xiàn)代的惡意代碼通過多態(tài)、變型、加密等手段來規(guī)避分析惡意代碼分析的主要目的是明確惡意代碼的行為特性并檢測以達到延長自身生命周期的目的,使得惡意代碼的特征提取特征碼為下一步的惡意代碼檢測和控制清除提供依據(jù),碼分析越來越困難.同時一些惡意代碼自動生成工具的出現(xiàn)因此惡意代碼分析是否可以快速有效地進行是降低惡意代碼和攻擊代碼的公開使得惡意攻擊變得簡單化,呈現(xiàn)出模塊化危害的關(guān)鍵一步.目前的分析方法可以分為靜態(tài)分析和動態(tài)[1]的趨勢.這些特點使得惡意代碼手工分析越來越不適應(yīng)分分析兩大類.析的需求.2.1靜態(tài)分析動態(tài)
8、分析通過在受控的環(huán)境中執(zhí)行惡意代碼來分析其行靜態(tài)分析[4]不實際運行惡意代碼,而是通過對惡意代碼為特征,因而不受多態(tài)、變型、加密等手段的影響,可以用來對的二進制文件進行分析,提取特征碼.這種特征碼可直接被掃惡意代碼進行快