基于函數(shù)監(jiān)控的惡意程序行為自動分析方法研究與實現(xiàn).pdf

1、現(xiàn)代互聯(lián)網(wǎng)已經(jīng)與人類生活非常緊密，人們在享用網(wǎng)絡(luò)便利的同時，也面臨著來自互聯(lián)網(wǎng)上惡意程序傳播所帶來的安全隱患。而惡意程序行為分析正是安全研究人員關(guān)注的重點。
　　傳統(tǒng)惡意程序分析方法源于二進制碼的靜態(tài)分析技術(shù)。靜態(tài)分析技術(shù)在長期使用中得到了不斷改進，但是在惡意程序數(shù)量爆炸式增長趨勢面前，靜態(tài)分析方法逐漸顯得力不從心。惡意程序通過采用加密、加殼或者增加花指令的方法躲避靜態(tài)分析。為了解決以上問題，安全研究領(lǐng)域出現(xiàn)了基于程序行為分析的研

2、究技術(shù)。行為分析的特點是記錄程序在運行時發(fā)生的動作，然后通過對不同動作的定義來表示程序的行為。這種分析技術(shù)突破了二進制分析的技術(shù)限制，解決了未知代碼檢測問題。同時惡意程序的快速增長迫使程序行為分析自動化成為安全研究方向的重要課題。
　　在這種背景下，本文提出了一種基于函數(shù)監(jiān)控的程序行為自動分析方法，并使用該方法對惡意程序進行檢測。該方法的核心可以分為三個部分：系統(tǒng) API監(jiān)控，捕獲程序運行調(diào)用的系統(tǒng)API，在本文基于的課題中使用Q

3、EMU開源模擬器搭建程序運行平臺，實現(xiàn)對系統(tǒng) API調(diào)用的監(jiān)控；基本行為抽象，定義一系列規(guī)則將捕獲得到的API抽象為可讀性高且具有明確含義的基本行為，基本行為指單個API函數(shù)表示的行為；高級行為抽象，定義組合關(guān)系，總結(jié)惡意程序常見操作，將其按照與、或、順序等邏輯關(guān)系拆分成基本行為的組合，實現(xiàn)對惡意程序的檢測，完成程序行為的自動化分析。文章最后實驗部分詳細演示了該自動分析方法實際操作流程，并將實驗結(jié)果與手工程序行為分析結(jié)果進行比較。對比結(jié)