基于虛擬機的內核模塊行為分析技術研究.pdf

1、一方面，互聯(lián)網(wǎng)的快速發(fā)展為我們提供了靈活便捷的通訊手段和豐富多彩的信息資源，以及便利的電子商務交易平臺，另一方面，網(wǎng)絡所面臨的安全問題也越來越嚴重。惡意代碼行為分析是檢測惡意代碼的前提，它為殺毒軟件提供病毒木馬的行為特征，但是傳統(tǒng)行為分析工具本身存在于不安全的系統(tǒng)環(huán)境中，容易受到攻擊或欺騙，基于虛擬機的惡意代碼行為分析正是為了解決傳統(tǒng)分析工具的缺陷發(fā)展起來的。
　　本文圍繞基于虛擬機的惡意代碼行為分析技術開展研究，針對現(xiàn)階段缺少內

2、核模塊行為分析的缺陷，研究內核模塊行為分析技術，主要貢獻和創(chuàng)新點為：
　　（1）提出一種基于“In-VM”思想的內核模塊行為分析模型?，F(xiàn)階段，針對內核模塊行為分析研究較少，主要原因有：一是所有的內核模塊共享同一個內核空間，具有相同的系統(tǒng)權限；二是內核函數(shù)分散，無法使用傳統(tǒng)的函數(shù)HOOK等方法來監(jiān)視其行為。本文利用虛擬化技術的優(yōu)勢，VMM（Virtual machine monitor）運行在客戶操作系統(tǒng)（Guest OS）的下層，

3、具有更高的運行權限，以此來監(jiān)視客戶系統(tǒng)中的行為。本文利用“In-VM”的思想來隔離待分析的內核模塊，分析其篡改系統(tǒng)關鍵數(shù)據(jù)或運行系統(tǒng)函數(shù)的行為。
　　（2）研究自動化的內核模塊惡意行為判別方法。在已知內核模塊行為的前提下，如何自動化地判別該模塊是否包含惡意行為是一個重點，本文從內核數(shù)據(jù)和內核函數(shù)兩個方面展開研究，分析關鍵數(shù)據(jù)區(qū)并實施保護，對高危險行為實施報警；監(jiān)控高危型函數(shù)的執(zhí)行過程，基于函數(shù)流來判斷是否存在惡意行為。
　　

4、（3）實現(xiàn)了基于“In-VM”思想的內核模塊分析原型系統(tǒng)。本文在 KVM的基礎上實現(xiàn)了上述原型系統(tǒng)，利用VMM的虛擬機內存機制在客戶系統(tǒng)內核中建立一個隔離的地址空間，待分析內核模塊運行于該隔離空間中，其篡改系統(tǒng)關鍵數(shù)據(jù)或運行系統(tǒng)函數(shù)的行為都可以被監(jiān)視。實驗表明該原型系統(tǒng)能夠分析 DKOM行為、HOOK行為、系統(tǒng)函數(shù)執(zhí)行等等。
　　本文的研究得到湖南省教育廳產業(yè)化項目（11CY018)的支持，對提高惡意代碼的分析能力和檢測能力具有重