基于虛擬機(jī)的通用自動化脫殼系統(tǒng).pdf

1、隨著信息技術(shù)的深入發(fā)展,軟件作為智力和知識的結(jié)晶,其核心技術(shù)的保護(hù)顯得日益重要。另一方面,層出不窮的惡意代碼為延長其生命周期,也不斷在尋求可以制造變種以避免被基于特征碼掃描的殺毒軟件所查殺的方法。
　　 軟件殼是一種保護(hù)第三方軟件不被逆向分析而且不影響其運(yùn)行功能的程序。它完全基于目標(biāo)程序的二進(jìn)制碼,與被保護(hù)的程序的邏輯相分離。因其穩(wěn)定性強(qiáng),且具有壓縮功能等特性,軟件殼在惡意代碼免殺領(lǐng)域應(yīng)用范圍非常廣。一種惡意代碼通過加殼往往可以

2、制造出幾十甚至上百個變種,安全廠商發(fā)布的報告顯示現(xiàn)行惡意代碼的加殼率高達(dá)95％以上。
　　 面對由于加殼而產(chǎn)生的海量變種,除被動地增加病毒庫特征碼以外,國內(nèi)外對脫殼方法也展開了研究?，F(xiàn)有的脫殼方法往往只能針對某類殼,通用性差,難以收集,而且通常需要大量的人工分析才能得出正確的結(jié)果,自動化程度低。一個自動化的通用的脫殼機(jī)一方面可以減輕安全分析人員的勞動強(qiáng)度,另一方面也可以部署到用戶端系統(tǒng),以提高惡意代碼的查殺率。
　　 本

3、文設(shè)計了一個基于緩沖代碼虛擬機(jī)的自動化通用脫殼系統(tǒng)。該課題首先對軟件加殼技術(shù)做全面的研究和透徹的分析,從中抽象出軟件殼的共性,據(jù)此提出解決相應(yīng)問題的原則方法。其次,根據(jù)分析惡意代碼需要安全執(zhí)行環(huán)境、脫殼提出的可控以及仿真程度高以對抗反調(diào)試等特殊需求,引入了一種輕量級的指令級緩沖代碼虛擬機(jī)。第三,根據(jù)所提煉出的脫殼所面臨的阻礙,提出相應(yīng)的解決方案,并討論了其技術(shù)細(xì)節(jié)。實驗表明,該方案獨(dú)立于目標(biāo)程序邏輯,對未知脫殼效果良好,不需要人工干預(yù)。

4、
　　 本文的主要貢獻(xiàn)和創(chuàng)新點在于如下工作:①將軟件殼的行為抽象成:通過代碼混淆變換對抗靜態(tài)分析;通過PE結(jié)構(gòu)變換對抗動態(tài)分析以及反調(diào)試三大類,為脫殼方案的設(shè)計提供依據(jù);②提出了通用自動化的脫殼方法。該方法基于虛擬機(jī)技術(shù)控制目標(biāo)執(zhí)行,通過編譯器入口特征查找規(guī)則,跨段跳檢測查找規(guī)則,堆棧平衡規(guī)則及虛擬機(jī)掃描等方法來尋找目標(biāo)在內(nèi)存中自行解密的狀態(tài)。相比其他的方法,該方案更具通用性,對未知?dú)っ摎ばЧ己?③特別地,首次提出了經(jīng)定位、讀