基于函數(shù)監(jiān)控的惡意程序行為捕獲研究與實現(xiàn).pdf

1、當下，我們的生活與互聯(lián)網(wǎng)聯(lián)系非常緊密，我們在享受網(wǎng)絡生活便利的同時，也在面臨著互聯(lián)網(wǎng)上惡意程序傳播所帶來的網(wǎng)絡安全問題。以高級持續(xù)威脅為代表的新型惡意程序能夠突破傳統(tǒng)的安全解決方案，給國家、社會、企業(yè)、個人的網(wǎng)絡安全都帶來了極大的危害，因此對未知文件惡意性的分析研究已經(jīng)是惡意程序研究的重點和難點。
　　本文給出了一種基于函數(shù)監(jiān)控的惡意程序行為自動化分析方法。分析了惡意程序行為與API之間關系，利用QEMU開源模擬器構(gòu)建封閉的樣本分

2、析環(huán)境，采用惡意程序動態(tài)分析技術，在虛擬機監(jiān)控層中實現(xiàn)了在樣本動態(tài)運行過程中，對樣本調(diào)用API序列及其參數(shù)的捕獲。在捕獲的API調(diào)用序列的基礎上，給出了一種自動化行為抽象方法，并對其進行了實驗和結(jié)果分析。
　　分析了惡意程序與API之間的關系，利用QEMU以基本塊為單位的翻譯執(zhí)行流程，修改了虛擬機監(jiān)控層，實現(xiàn)了對惡意程序運行過程中調(diào)用API序列及其參數(shù)信息的動態(tài)捕獲。QEMU使用了動態(tài)二進制翻譯技術，完成了對不同指令集之間的翻譯工

3、作，同時在以基本塊為單位翻譯執(zhí)行的流程中，使用語義重構(gòu)技術消除了 QEMU內(nèi)部數(shù)據(jù)與操作系統(tǒng)之間的語義鴻溝，從語義上理解并區(qū)分了進程、線程、API以及參數(shù)信息。同時從惡意程序多樣性的特點上出發(fā)，在語義中引入注入進程、非PE進程、后續(xù)分析等概念，實現(xiàn)了對注入進程、非PE文件進程的監(jiān)控，完善了以進程為監(jiān)控單位的API捕獲方法。
　　深入理解API序列之間的相關關系，給出了一種從API到行為的自動化抽象方法。根據(jù)應用程序行為的特點，給出

4、了兩種行為，即基本行為和高階行為?；拘袨槭窃趩蝹€API的基礎上抽象成相應的簡單行為。高階行為是在基本行為的基礎上，充分理解API之間的與、或、順序等相關關系，同時定義API之間的組合關系，利用多個API實現(xiàn)對高級行為的抽象。行為抽象過程中，需要經(jīng)過提取關鍵函數(shù)、存儲關鍵參數(shù)、參數(shù)的轉(zhuǎn)換與合成等步驟，最終給出行為分析報告。
　　本文主要對API調(diào)用序列的捕獲以及行為抽象兩個方面進行了重點研究。在工程中，給出了一種基于函數(shù)監(jiān)控的惡意