在虛擬環(huán)境中揭示惡意軟件的行為.pdf

1、當(dāng)今社會(huì)以計(jì)算機(jī)安全為基礎(chǔ)的網(wǎng)絡(luò)安全防護(hù)備受關(guān)注，惡意軟件使用了大量先進(jìn)技術(shù)，對(duì)傳統(tǒng)惡意軟件分析技術(shù)帶來極大挑戰(zhàn)。通過沙盒分析惡意軟件可以快速直觀的理解惡意軟件行為，是對(duì)傳統(tǒng)惡意軟件分析技術(shù)的有益補(bǔ)充。但是目前越來越多的惡意軟件具備了對(duì)抗已知沙盒分析的能力。另一方面，通過提取沙盒捕捉到的惡意軟件的行為特征，以此作為判別依據(jù)來檢測(cè)惡意軟件，是目前討論較多的基于行為的惡意軟件檢測(cè)技術(shù)?，F(xiàn)有的研究總是期望在最廣的范圍內(nèi)對(duì)正常程序和惡意軟件進(jìn)行

2、區(qū)分，而惡意軟件的特征行為往往會(huì)被龐大的正常軟件行為所掩蓋。因此構(gòu)建一款自主開發(fā)的沙盒對(duì)惡意軟件進(jìn)行分析，并通過提取惡意軟件的行為特征，建立準(zhǔn)確高效的檢測(cè)模型就顯得尤為迫切。
　　 基于以上現(xiàn)狀，本文構(gòu)建了沙盒系統(tǒng)Z-Monitor，可以動(dòng)態(tài)監(jiān)視和分析惡意軟件的行為，具有規(guī)避惡意軟件抗已知沙盒分析的能力。通過Z-Monitor對(duì)惡意軟件行為追蹤結(jié)果的分析，構(gòu)建分類檢測(cè)模型，可在較小的范圍內(nèi)對(duì)特定類別的惡意軟件做出精準(zhǔn)判斷。

3、>　　 本文研究了API鉤子的注入方式和攔截方式，并采用創(chuàng)建遠(yuǎn)程線程函數(shù)的注入方式以及內(nèi)聯(lián)代碼覆蓋的攔截方式構(gòu)建了沙盒Z-Monitor。在宿主計(jì)算機(jī)上運(yùn)行Linux系統(tǒng)Ubuntu，通過虛擬機(jī)軟件VirtualBox運(yùn)行Windows XP系統(tǒng)，Z-Monitor在其中執(zhí)行惡意軟件并截獲所有被監(jiān)控的系統(tǒng)API函數(shù)調(diào)用，生成日志文件供后期分析使用。通過Z-Monitor對(duì)大量惡意軟件的執(zhí)行結(jié)果分析，總結(jié)了惡意軟件的常見行為，對(duì)防范和反

4、擊惡意軟件有著重要意義。
　　 本文針對(duì)現(xiàn)有的基于行為分析的惡意軟件檢測(cè)方法不足，提出分類檢測(cè)的思想。針對(duì)目前利用PDF文檔解析漏洞攻擊嚴(yán)重的現(xiàn)狀，通過Z-Monitor監(jiān)控Adobe Reader，利用其執(zhí)行含有ShellCode的PDF文檔和正常PDF文檔時(shí)得到的行為結(jié)果差異構(gòu)建數(shù)學(xué)模型。模型使用做均方差的方法來選取特征函數(shù)，用頻次作為特征值，然后利用SVM良好的泛化性能在特征空間構(gòu)造最優(yōu)分類超平面，以此來判斷Adobe R