惡意代碼內(nèi)存鏡像分析方法研究.pdf

1、隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，利用惡意軟件實(shí)施和隱藏犯罪的現(xiàn)象也日益普遍。內(nèi)存鏡像分析技術(shù)通過分析獲取到的受影響機(jī)器的易失性內(nèi)存，提取目標(biāo)系統(tǒng)當(dāng)前時(shí)刻的狀態(tài)信息，找出與惡意軟件行為相關(guān)的信息。目前內(nèi)存鏡像分析方法主要是利用Windows系統(tǒng)運(yùn)行時(shí)尋找對象的方法，結(jié)合鏈表遍歷來實(shí)現(xiàn)對對象的檢索，而且目前很多都是基于特定對象進(jìn)行分析，不能將內(nèi)存鏡像中的其他對象聯(lián)系起來。
　　針對目前這些方法的缺陷，研究了惡意代碼行為內(nèi)存鏡像分析方法。對內(nèi)存

2、對象進(jìn)行了定位和提取，設(shè)計(jì)了針對內(nèi)存對象定位的池標(biāo)簽掃描方法，該方法以操作系統(tǒng)內(nèi)存池中對象結(jié)構(gòu)體的特定標(biāo)簽作為識別對象的標(biāo)志，能夠有效的識別操作系統(tǒng)的進(jìn)程、網(wǎng)絡(luò)、注冊表、驅(qū)動(dòng)、服務(wù)等各種系統(tǒng)對象，以及互相之間的關(guān)系。并且能夠發(fā)現(xiàn)惡意代碼采用Rootkit手段隱藏的各種系統(tǒng)對象。在此基礎(chǔ)上，結(jié)合內(nèi)存對象本身的權(quán)限、屬性、內(nèi)容；不同內(nèi)存對象之間的從屬關(guān)系、數(shù)量聯(lián)系對惡意代碼行為進(jìn)行多角度的檢測，提出了惡意代碼行為內(nèi)存鏡像對象分析方法。最后，

3、通過多內(nèi)存鏡像對比方法發(fā)現(xiàn)不同內(nèi)存鏡像的對象屬性之間的區(qū)別，進(jìn)一步對惡意代碼行為進(jìn)行了補(bǔ)充和驗(yàn)證。
　　最后實(shí)現(xiàn)了原型系統(tǒng)，并對Stuxnet樣本進(jìn)行測試以及對44種惡意代碼樣本進(jìn)行實(shí)驗(yàn)。將實(shí)驗(yàn)結(jié)果與國內(nèi)知名惡意代碼分析引擎“文件B超”進(jìn)行對比，顯示內(nèi)存鏡像分析可以準(zhǔn)確地檢測到惡意代碼在進(jìn)程、Hook、DLL、代碼注入、注冊表等方面的可疑行為，表明提出的內(nèi)存鏡像分析方法的有效性。在此基礎(chǔ)上利用多內(nèi)存鏡像對比分析方法對Hydraq樣