恶意代码行为取证分析系统设计与实现

来源 :华中科技大学 | 被引量 : 0次 | 上传用户:zz727zz
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
目前多数恶意代码取证方法只是单一检测内存或磁盘,无法全面准确地获取恶意代码的犯罪痕迹,并且多数方法得到的是一系列零散独立的行为,难以对恶意行为进行整体分析。针对上述问题设计了一种恶意代码行为取证分析方法,结合了内存取证和磁盘取证以及关联分析,能够更深入和全面的对恶意代码进行分析取证。恶意代码行为取证分析方法分为四个模块:证据数据获取模块、内存取证分析模块、磁盘取证分析模块和综合关联分析模块。证据数据获取模块负责获取恶意代码运行前、中、后多个时期虚拟机的内存数据、磁盘文件及虚拟机内部时间,为有效应对TOC-TOU攻击,提出了多粒度的取证触发机制。内存取证分析模块负责分析获得的虚拟机内存数据,从内核对象中提取恶意代码产生的行为并进行可疑识别。磁盘取证分析模块负责分析获得的虚拟机磁盘文件,从NTFS文件系统中提取恶意代码产生的文件操作行为并进行可疑识别。综合关联分析模块负责将所有从内存和磁盘中提取的行为进行综合关联分析,最终重建恶意代码攻击过程时间线,并进行攻击过程可视化。根据以上方法实现原型系统,同时选取50个恶意代码样本对原型系统进行测试,并将实验结果与知名病毒分析引擎Virus Total进行比较,验证原型系统的准确性和全面性。结果显示原型系统能检测出进程创建、互斥量创建、文件隐藏等绝大多数恶意样本行为,且在GUI行为和文件操作行为检测方面有更好的检测效果。此外,与Virus Total只能检测到独立零散行为不同,原型系统能按时间线还原完整的恶意代码攻击过程并进行攻击过程可视化,因此能更好地帮助安全分析人员从整体上对恶意代码的整个行为过程进行把握。
其他文献
目的:探讨短期应用小剂量免疫抑制剂诱导肝硬化大鼠肝移植免疫耐受的可行性及其可能机制,为临床制定合理的免疫抑制方案提供理论依据。方法:“二袖套”法建立Lews→肝硬化BN大鼠原位肝移植模型,根据术后FK506用药时间及剂量受体分为对照组、小剂量、中剂量,大剂量、小剂量延迟组。分别检测术后1、3、5、7d的IL-2和INF-γ水平、肝细胞凋亡、外周CD4+CD25+调节性T细胞Foxp3 mRNA表达
利率市场化改革核心是放松对利率的管制,市场化后的利率收窄了净利差,金融市场内流动资金有限,银行为争取更多现金流而展开激烈竞争。商业银行能否应对日益激烈的竞争环境中的挑战和随之而来的风险,增加以及稳定收益显得十分重要。本文选取中国16家上市商业银行2012-2018年的数据作为样本,利用基于共同边界的两阶段DEA模型作为样本银行效率测度方法,研究利率市场化背景下我国上市商业银行的效率,同时将样本银行
近年来,随着通信终端的不断发展,对带宽和速率不断提出更高的要求,电子材料的瓶颈日益增显。由于光子相比于电子不存在强相互作用,并且传输数据的速率更快,因此越来越多的人将目光投向光子领域。类比于电子半导体,不同的介电常数的介质周期性的排列,根据结构设计的不同,在空间中呈现一维、二维或三维的晶体结构并且这种晶体结构由于介质间的介电常数、折射率不同而对光波在其中传播的调制不同,从而展现出控制光波传播,这种
洁净厂房因其具有控制室内悬浮粒子、微生物、环境条件等能力,能够保证电子、医药产品的生产质量及实验动物的质量,被广泛应用于电子、医药、生物等领域。在洁净厂房相关产品的生产过程中,受生产条件及其工艺限制,来自于多种原辅材料的毒物会逸散或残留至室内空气中,危害劳动者的健康。洁净厂房常用空调净化系统的新风系统和三级过滤器来降低室内污染物浓度,其总送风量由新风量和回风量组成,通常回风量达70%以上,新风系统
现代军事战争中,信息战作为一种新的作战方式,在整个战局中具有非常重要的地位。信息侦收是信息战取胜的关键,信息侦收的质量,决定了能否有效地侦查、接收甚至破解和干扰敌方通信,很大程度上决定了战局的走向。军事通信中,通常采用能够实现远距离非视距通信,且建设成本较低、抗毁坏性能较强、机动性较好的短波通信技术,但是由于短波信道环境较恶劣,短波多载波信号的侦收面临着较大的挑战。由于侦收信号的结构固定,无法通过
研究目的:探究我国优秀跳台滑雪运动员起跳阶段的运动学特征,为以后的科学训练提供参考。研究方法:8名吉林省优秀跳台滑雪运动员完成3次跳台滑雪,选取成绩最好的一次滑行进行研究,应用3台高速摄影机垂直于滑行方向拍摄运动员起跳时的影像,应用影像解析系统分析其运动学特征。研究结果:(1)助滑阶段末期:8名运动员髋关节角的平均值为24.01±2.15°,与世界级选手髋关节角24.8±1.36°相比,无显著性差
石英晶体是一种重要的压电材料,由于其具备优良的机械、电学、温度等特性而广泛地应用于制造谐振器。谐振器作为频率控制元件具有提供高频信号输出和精确计时等功能,在现今信息化时代的背景下发挥着至关重要的作用。研发工程师在谐振器设计初期通常只考虑晶片尺寸、切型等参数,但随着谐振器朝尺寸小型化和高频化的方向发展,其它微观变量如晶片表面粗糙度对谐振器性能的影响将变得无法忽视。在长期的应用研究过程中,包括切型和振
在全球范围内,子宫内膜癌每年导致约76 000例患者死亡,且发病率及病死率仍在逐年升高,预测2021年美国子宫内膜癌新增66 570例,死亡12 940例[1];中国2020年子宫内膜癌新增81 964例,死亡16 607例,发病率仅次于子宫颈癌[2]。传统子宫内膜癌分为以子宫内膜样腺癌(EEC)为主要病理类型的雌激素依赖型(Ⅰ型)和以子宫浆液性腺癌为主的非雌激素依赖型(Ⅱ型),前者以PTE
压电超材料结构凭借其独特的带隙特性成为近十几年来振动/噪声控制领域的重要研究方向之一,基于电感-电容(LC)谐振的局域共振(LR)型带隙成为主要的研究对象。然而,受限于LC谐振机理,压电超材料结构产生的带隙往往是窄带的,这使得压电超材料距离实际振动/噪声控制应用仍有较大差距。因此,需要研究更为有效的调控手段实现宽频带的带隙。本文将压电超材料的带隙作为研究对象,开展了带隙被动、半主动以及主动调控技术
不断改善义务教育办学条件、合理配置教育资源是保障义务教育均衡发展的有效手段,是促进国家教育事业健康发展的重点。伴随着城市化进程的加速,区域经济快速发展,天山区流动人口子女入学大幅增加,部分学校学位供给压力不断加大,“大班额”、教育资源不足、教育用地短缺等问题日渐突出。因此针对天山区改善义务教育办学条件路径不足之处进行分析研究具有一定意义。为找出现行各类改善路径的最优方案,本文首先分析了近年来天山区