二進(jìn)制程序行為檢測(cè)分析平臺(tái).pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展和應(yīng)用范圍的不斷擴(kuò)大,信息安全越來(lái)越成為政府,企業(yè)和個(gè)人所關(guān)注的焦點(diǎn)。近年來(lái),以病毒、蠕蟲(chóng)、木馬、后門(mén)和rootkit等為主要形式的惡意程序正成為這一范疇內(nèi)的主要研究課題。如何應(yīng)對(duì)日益泛濫的惡意程序并有效地檢測(cè)出它們的樣本是所有研究里的重中之重。
　　 新型的惡意程序除了具備攻擊性與破壞性等傳統(tǒng)特性外,更開(kāi)發(fā)出了多樣性,隱蔽性和自我保護(hù)性等新型特性,并以此獲得了更為強(qiáng)大的攻擊力和生存能力。如何有效地瓦解惡

2、意程序所使用的代碼迷惑,加殼以及反調(diào)試技術(shù)已成為公認(rèn)的難點(diǎn)。與此同時(shí)惡意程序的檢測(cè)技術(shù)也呈出現(xiàn)不斷發(fā)展的趨勢(shì),出現(xiàn)了動(dòng)態(tài)特征碼掃描、虛擬機(jī)查毒、行為特征識(shí)別等方法,但是這些方式方法中最成熟,利用也最廣泛的還是傳統(tǒng)的基于特征碼的檢測(cè)技術(shù)。
　　 因此,如何有效地對(duì)抗目前惡意程序所擁有的新型特性,準(zhǔn)確地檢測(cè)出某個(gè)程序是否符合惡意程序的規(guī)范,并彌補(bǔ)當(dāng)前檢測(cè)技術(shù)的不足成為了本文的研究目的。為達(dá)到以上目標(biāo),本文提出了一個(gè)基于動(dòng)態(tài)分析的行為

3、檢測(cè)平臺(tái),通過(guò)設(shè)置隱蔽的監(jiān)視斷點(diǎn)來(lái)捕獲二進(jìn)制程序運(yùn)行時(shí)所執(zhí)行的各種行為,同時(shí)廣泛地調(diào)研當(dāng)前惡意程序的行為規(guī)范來(lái)構(gòu)造行為規(guī)則庫(kù),從而通過(guò)規(guī)則匹配的方式來(lái)判定該程序的行為是否符合某些惡意行為的標(biāo)準(zhǔn),最后對(duì)該程序的威脅度進(jìn)行評(píng)定并輸出綜合結(jié)論。
　　 該平臺(tái)最重要的特性就是能夠有效應(yīng)對(duì)當(dāng)前惡意程序所使用的隱蔽和反檢測(cè)技術(shù),針對(duì)惡意程序的多樣性,隱蔽性和自我保護(hù)性提出相應(yīng)的檢測(cè)方案。本文的主要工作內(nèi)容如下:
　　 1.重點(diǎn)研究當(dāng)

4、今惡意程序所普遍使用的反檢測(cè)技術(shù),從而對(duì)癥下藥:
　　 2.從靜態(tài)分析與動(dòng)態(tài)分析兩方面來(lái)介紹目前檢測(cè)惡意程序的主要方法,提出每種方法的局限與不足并嘗試給出可能的解決方案;
　　 3.針對(duì)當(dāng)前惡意程序所使用的技術(shù)和安全檢測(cè)所存在的不足給出基于動(dòng)態(tài)分析二進(jìn)制程序行為的檢測(cè)方案,該方案繼承了動(dòng)態(tài)檢測(cè)的優(yōu)點(diǎn)并能在一定程度上彌補(bǔ)其不足;
　　 4.給出二進(jìn)制程序行為檢測(cè)分析平臺(tái)的概要設(shè)計(jì)和詳細(xì)設(shè)計(jì),描述整個(gè)平臺(tái)的運(yùn)行流程,