论文部分内容阅读
恶意代码威胁着计算机系统的安全,已经成为日益重要的问题。所谓恶意代码,即病毒、木马、蠕虫、间谍或任何形式有恶意行为的程序。由于恶意代码对计算机的严重破坏性,检测和打击恶意代码已经成为计算机安全领域的重要目标。恶意代码分析是一项极具挑战性的工作,不但要提供恶意代码功能信息,而且还要知晓恶意代码的内部结构,这样才能促进反恶意代码的发展。但不幸的是,如病毒扫描器、间谍软件扫描器等传统通过模式匹配的恶意代码分析方法,已经很容易地被代码转换技术所逃避。为了能够成功检测和分析恶意代码,恶意代码分析必须动态分析其二进制。恶意代码出于自我保护的考虑,有着很强的反分析技术。再加上软件保护技术快速发展,也给动态二进制分析带来了严峻的考验。本文首先对恶意代码常用技术进行了深入调查,然后深入研究了目前恶意代码检测和分析的常用手段。发现现阶段分析方法仅仅对已知恶意代码有些效果,但在未知或是变种病毒分析上却差强人意,尤其是一些恶意代码本身具有反分析能力和很强的生存能力,能够躲避调试工具和检测软件的追踪分析。本文的研究目标是:实现一个分析过程隐蔽、分析过程自动化、分析结果准确、分析报告全面的系统。本文提出的恶意代码动态二进制分析平台在监控技术上采用基于页面异常机制的新型方法,在分析技术上采用系统调用行为和参数分析的程序行为分析方法。监控技术利用了操作系统提供的页面异常机制来获得目标进程的控制权。与传统监控技术相比,该技术在隐蔽性等方面更胜一筹。分析模块提取恶意行为特征,构建恶意行为规则库,并模拟安全专家人工识别恶意程序的方法,自动化分析样本行为,判定行为恶意性。该方法分析过程自动化,分析结果准确,能成为安全人员分析时重要的利器。最后测试实验证明,本文提出的恶意代码分析平台效果明显,分析平台给出的报告可以作为安全分析人员判断的重要依据。