基于虚拟化的恶意代码行为捕获技术研究

论文摘要

在互联网的所有威胁中,恶意代码无疑危害最大。本文主要针对恶意代码行为的捕获。在恶意代码行为捕获方面,已有研究存在着若干问题:一是,分析环境容易被恶意代码检测出来,进而导致分析被回避;二是,获取的信息无法体现恶意代码的行为细节;第三,已有研究忽视对恶意代码运行时生成的进程、远程线程和Windows服务进行实时分析的研究。为此,本文的研究目的在于实现隐蔽、全面、自动化的恶意代码行为捕获。主要内容包括:首先,介绍了虚拟化技术及其相关概念。对恶意代码进行了概述;讨论了恶意代码分析的两种方法,即静态方法与动态方法。通过对这两种方法的分析,本文指出动态分析方法能够更好地完成对恶意代码的分析。重点研究了当前基于虚拟化的恶意代码行为捕获的主要技术,并阐述现有技术存在的问题;另外,分析了相关的研究项目,并指出这些项目存在的不足。其次,在上述研究的基础之上,设计并实现了基于虚拟化的恶意代码行为捕获系统。针对分析环境容易被检测出来的问题,利用基于虚拟化的隐蔽监视技术,尽可能提高分析的隐蔽性。提出了多目标实时分析技术,使该系统能够对恶意代码运行时生成的进程、远程线程和Windows服务进行实时分析。另外,采用了系统调用抽象技术和细粒度行为捕获技术,使得获取的恶意代码行为信息更为全面。接着,本文对行为捕获系统进行了测试,测试内容包括有效性测试、功能性测试和样本集测试。测试结果表明了该系统达到了预期的设计目标。最后,总结了本文的工作,并指出了行为捕获系统需要进一步完善的地方以及今后的研究方向。

论文目录

表目录

图目录

摘要

ABSTRACT

第一章绪论

1.1 背景和意义

1.2 国内外研究现状

1.2.1 代码规范化及语义重构的静态行为分析

1.2.2 基于系统调用的动态行为分析

1.3 研究内容和成果

1.4 论文的结构安排

第二章虚拟化及恶意代码行为捕获的相关技术

2.1 虚拟化技术

2.1.1 虚拟化技术简介

2.1.2 虚拟机的分类

2.2 恶意代码分析技术

2.2.1 恶意代码概述

2.2.2 恶意代码分析技术

2.3 基于虚拟化的恶意代码行为捕获

2.3.1 客户操作系统内部的捕获

2.3.2 VM外部的行为捕获

2.3.3 客户操作系统内部与VM外部进行捕获的比较

2.4 本章小结

第三章基于虚拟化的恶意代码行为捕获系统的设计

3.1 整体设计

3.1.1 总体目标

3.1.2 基本思想

3.1.3 总体框架

3.2 关键技术

3.2.1 基于虚拟化的隐蔽监视技术

3.2.2 系统调用抽象技术

3.2.3 多目标实时分析技术

3.2.4 细粒度的行为捕获技术

3.3 虚拟运行模块的设计

3.3.1 虚拟运行环境的构建方案

3.3.2 虚拟运行环境的配置方案

3.3.3 虚拟运行环境的整合设计

3.4 客户服务器的设计

3.5 分析子系统的设计

3.5.1 系统调用的监视

3.5.2 系统调用的分析

3.5.3 多目标实时分析的设计

3.6 本章小结

第四章基于虚拟化的恶意代码行为捕获系统的实现

4.1 虚拟运行模块的实现

4.1.1 QEMU的编译

4.1.2 QEMU库的接口

4.1.3 QEMU的回调

4.2 客户服务器的实现

4.2.1 Watcher服务器

4.2.2 Watcher驱动程序

4.3 分析子系统的实现

4.3.1 虚拟机的管理

4.3.2 系统的引导及初始化

4.3.3 行为信息的表示与组织

4.3.4 回调函数及其分发机制

4.3.5 句柄的解析

4.3.6 多目标实时分析的实现

4.3.7 服务进程创建的监视

4.3.8 分析的协调

4.3.9 输出信息的格式化

4.3.10 分析超时的处理

4.4 运行机制

4.4.1 初始化流程

4.4.2 分析流程

4.5 本章小结

第五章系统测试与分析

5.1 测试目的

5.2 测试环境

5.3 测试内容

5.3.1 有效性测试

5.3.2 功能性测试

5.3.3 样本集测试

5.4 本章小结

结束语

参考文献

作者简历攻读硕士学位期间完成的主要工作

致谢

基于虚拟化的恶意代码行为捕获技术研究

论文摘要

论文目录

相关论文文献

猜你喜欢