1、清華大學(xué)碩士研討生開(kāi)題報(bào)告基于虛擬執(zhí)行的惡意代碼靜態(tài)分析技術(shù)研討導(dǎo)師：段海新 副教授碩士生：姜曉新2022/8/24.目 錄選題背景相關(guān)研討綜述研討目的研討內(nèi)容和研討方案任務(wù)進(jìn)度安排.一、選題背景惡意代碼的根本定義及其危害未經(jīng)授權(quán)，干擾計(jì)算機(jī)系統(tǒng)/網(wǎng)絡(luò)的程序或代碼近30年來(lái)，惡意代碼技術(shù)突飛猛進(jìn)、數(shù)量急劇添加，傳播越來(lái)越快，已成為當(dāng)代信息社會(huì)的致命殺手惡意代碼分析檢測(cè)技術(shù)反編譯、虛擬機(jī)、斷點(diǎn)跟蹤、虛擬執(zhí)行、蜜罐特征掃描、啟發(fā)式掃描、實(shí)時(shí)監(jiān)控、自動(dòng)防御.一、選題背景需求分析惡意代碼技術(shù)迅猛開(kāi)展，傳統(tǒng)的人工分析方法難以招架通用、先進(jìn)、高效的惡意代碼分析平臺(tái)實(shí)現(xiàn)惡意代碼靜態(tài)分析、動(dòng)態(tài)分析和網(wǎng)絡(luò)分析的

2、自動(dòng)化本課題旨在研討惡意代碼技術(shù)和通用的惡意代碼靜態(tài)分析技術(shù).二、相關(guān)研討綜述惡意代碼技術(shù)開(kāi)展現(xiàn)狀傳統(tǒng)的惡意代碼掃描技術(shù)基于行為特征的檢測(cè)技術(shù)虛擬執(zhí)行技術(shù)和反虛擬執(zhí)行技術(shù)反匯編技術(shù)和反反匯編技術(shù)啟發(fā)式分析技術(shù)自動(dòng)防御技術(shù).1、惡意代碼技術(shù)開(kāi)展現(xiàn)狀內(nèi)存駐留進(jìn)入系統(tǒng)中心態(tài)隱藏加殼多態(tài)變形病毒機(jī)和變形工具.2、傳統(tǒng)的惡意代碼掃描技術(shù)惡意代碼特征碼庫(kù)掃描引擎惡意代碼的特征碼：特征串和特征字可實(shí)現(xiàn)惡意代碼的準(zhǔn)確匹配復(fù)雜的多態(tài)、變形惡意代碼？E800 0000 005B 8D4B 4251 5050 0F01 4C24 FF5B 83C3 1CFA 8B2BPE文件特征碼.3、基于行為特征的靜態(tài)檢測(cè)技術(shù)將

3、惡意代碼的行為特點(diǎn)量化為特征碼/向量Windows系統(tǒng)，用戶(hù)層不能直接操作系統(tǒng)資源，中心層經(jīng)過(guò)API向用戶(hù)層提供效力反匯編得到完好的API調(diào)用序列。檢測(cè)運(yùn)用程序調(diào)用API情況，斷定行為特征關(guān)鍵點(diǎn)：惡意行為特征碼庫(kù)、類(lèi)似度比較算法歐式間隔，Jaccard擴(kuò)展余弦，Pearson類(lèi)似度算法等.CALL 000023262180+5+01952326JMP DWORD PTR DS: 004040C4Import Address Table (IAT)3、基于行為特征的靜態(tài)檢測(cè)技術(shù).4、虛擬執(zhí)行技術(shù)又稱(chēng)代碼仿真code emulation,虛擬CPU，通用脫殼器等運(yùn)用虛擬執(zhí)行技術(shù)可對(duì)惡意代碼的脫殼模

4、塊進(jìn)展解釋執(zhí)行，得到脫殼后的惡意代碼脫殼后的惡意代碼普通穩(wěn)定不變，仍可運(yùn)用特征碼進(jìn)展掃描單步和斷點(diǎn)跟蹤法要求惡意代碼真實(shí)執(zhí)行，不完全可控，普通用于人工分析，無(wú)法實(shí)現(xiàn)自動(dòng)分析.for (i=0;i=0 x280) return(0); if (InstLoc+ProgSeekOff=ProgEndOff) return(0); /以上兩條判別語(yǔ)句檢查指令位置的合法性 saveinstloc(); /存儲(chǔ)當(dāng)前指令在指令緩沖區(qū)中的偏移 HasAddNewInst=0; if (!(j=parse() /虛擬執(zhí)行指令緩沖區(qū)中的一條指令 return(0); /遇到不認(rèn)識(shí)的指令時(shí)退出循環(huán) if (j=2

5、) /前往值為2闡明發(fā)現(xiàn)了解密循環(huán) break; if (i=0 x100) return(0); /執(zhí)行過(guò)256條指令后仍未發(fā)現(xiàn)循環(huán)那么退出 if (!EncodeInst() /調(diào)用解密函數(shù)反復(fù)執(zhí)行循環(huán)解密過(guò)程 . 4、虛擬執(zhí)行技術(shù).5、反虛擬執(zhí)行技術(shù)插入特殊指令。3DNOW，MMX等特殊的或未公開(kāi)的指令。構(gòu)造化異常處置。在惡意代碼啟動(dòng)前預(yù)先設(shè)置本人的異常處置函數(shù)，程序故意引發(fā)一個(gè)異常，虛擬執(zhí)行時(shí)發(fā)現(xiàn)非法指令而停頓任務(wù)入口點(diǎn)模糊EPO技術(shù)。不修正宿主原入口點(diǎn)，在宿主代碼體內(nèi)插入跳轉(zhuǎn)指令運(yùn)轉(zhuǎn)惡意代碼長(zhǎng)循環(huán)、多線(xiàn)程技術(shù).6、反匯編技術(shù)把機(jī)器代碼轉(zhuǎn)化為匯編代碼線(xiàn)性?huà)呙鐻inear Sweep：對(duì)

6、一切在入口點(diǎn)和代碼終了之間的機(jī)器代碼按順序進(jìn)展反匯編OllyDbg、IDA、W32Dasm遞歸遍歷Recursive Traversal：按照代碼一切能夠的執(zhí)行順序反匯編Schwarz和Debray、Cifuente和Emmerik.7、反反匯編技術(shù)在馮.諾依曼體系構(gòu)造中，沒(méi)有明確的方法可以區(qū)別代碼和數(shù)據(jù)代碼迷惑技術(shù)code obfuscation：加殼、多態(tài)、花指令junk code、代碼分塊、分支函數(shù)、不變斷言、跳轉(zhuǎn)表欺騙可使反匯編軟件出現(xiàn)40% 以上的反匯編錯(cuò)誤.8、啟發(fā)式分析技術(shù)啟發(fā)式指“自我發(fā)現(xiàn)的才干，具備某種人工智能特點(diǎn)，是未來(lái)惡意代碼檢測(cè)技術(shù)的開(kāi)展趨勢(shì)主要基于虛擬執(zhí)行技術(shù)，反匯編

7、技術(shù)、行為特征分析檢測(cè)技術(shù)等，根據(jù)行為特征判別惡意代碼優(yōu)點(diǎn)：可發(fā)現(xiàn)未知惡意代碼缺陷：不能實(shí)現(xiàn)惡意代碼的準(zhǔn)確匹配，正確率只需90 %左右.9、自動(dòng)防御技術(shù)在惡意代碼運(yùn)轉(zhuǎn)時(shí)進(jìn)展自動(dòng)的全面防備，是實(shí)時(shí)監(jiān)控技術(shù)的晉級(jí)，主要依賴(lài)虛擬設(shè)備驅(qū)動(dòng)和系統(tǒng)鉤掛技術(shù)三個(gè)層次：資源訪(fǎng)問(wèn)規(guī)那么控制；資源訪(fǎng)問(wèn)掃描；程序活動(dòng)行為分析引擎微點(diǎn),卡巴斯基,諾頓，江民，瑞星，金山自動(dòng)防御技術(shù)能夠被突破：內(nèi)核級(jí)深度隱藏、內(nèi)核級(jí)rootkit、重置系統(tǒng)鉤掛.自動(dòng)防御體系構(gòu)造瑞星20219、自動(dòng)防御技術(shù).小結(jié)以特征碼掃描為主的惡意代碼準(zhǔn)確識(shí)別技術(shù)仍是惡意代碼防備的中心技術(shù)之一加殼、多態(tài)和變形技術(shù)是惡意代碼的主要開(kāi)展趨勢(shì)脫殼是靜態(tài)分析技

8、術(shù)的前提和關(guān)鍵“自動(dòng)防御是最近的平安業(yè)界最熱的詞，但仍有能夠被突破在惡意代碼執(zhí)行前，更高級(jí)的靜態(tài)分析依然是惡意代碼防備的重要途徑.參考文獻(xiàn)1 M. Christodorescu, and S. Jha, “Static Analysis of Executables to Detect Malicious Patterns, Proc. Berkeley, CA,2003.2 A. Sung, J. Xu, ., “Static Analyzer for Vicious Executables (SAVE), 20th Annual Computer Security Applications

9、 Conference, December 6-10, 2004.3 Konstantin Rozinov. Efficient Static Analysis of Executables for Detecting Malicious Behaviors, Polytechnic University4 JY Xu, AH Sung, P Chavez, et al. Polymorphic Malicious Executable Scanner by API Sequence Analysis, 2004.5 Richard Ford, PhD., The future of viru

10、s detection ,20046張翼 高級(jí)惡意軟件技術(shù)新挑戰(zhàn)突破自動(dòng)防御 XCON 20077 Peter Szor: The Art of Computer Virus Research and Defense. ISBN 0-321-30454-3,2005, 段海新, 楊波, 王德強(qiáng)譯8Bill Blunden：Virtual Machine Design and Implementation in C/C+. ISBN 1-55622-903-8 2002,楊濤,楊曉云,王建橋等譯9韓筱卿、王建鋒、鐘瑋,ISBN 7-121-02157-9，200510崔翔:高智能變形病毒原理與防

11、治, 哈爾濱工業(yè)大學(xué), 碩士學(xué)位論文, 200311 NJUE(匿名):反病毒引擎設(shè)計(jì), 2006.三、研討目的惡意代碼靜態(tài)自動(dòng)脫殼惡意行為特征靜態(tài)自動(dòng)提取基于行為特征規(guī)那么的檢測(cè)算法LINUX平臺(tái)惡意代碼靜態(tài)分析.四、研討內(nèi)容和研討方案惡意代碼技術(shù)：加殼、變形和多態(tài)技術(shù)，惡意代碼行為分析通用靜態(tài)惡意代碼自動(dòng)分析器惡意代碼行為特征的生成和檢測(cè)算法.惡意代碼自動(dòng)分析平臺(tái)體系構(gòu)造.通用靜態(tài)自動(dòng)分析器構(gòu)造.1、通用靜態(tài)脫殼研討內(nèi)容采用虛擬執(zhí)行技術(shù)實(shí)現(xiàn)惡意代碼的自動(dòng)靜態(tài)脫殼技術(shù)道路絕大多數(shù)加殼的惡意代碼在其入口處有脫殼器絕大多數(shù)脫殼器僅僅運(yùn)用了INTEL指令集中的一小部分指令參與針對(duì)反虛擬執(zhí)行技術(shù)的特

12、殊處置模塊特點(diǎn)對(duì)惡意代碼的可控性強(qiáng)，平安可靠.1、通用靜態(tài)脫殼.2、行為特征的提取和分析研討內(nèi)容靜態(tài)自動(dòng)提取惡意代碼的行為特征技術(shù)道路經(jīng)過(guò)惡意代碼的API調(diào)用序列斷定其行為特征反匯編惡意代碼，按照?qǐng)?zhí)行順序提取API調(diào)用序列分析比較惡意代碼樣本和非惡意代碼樣本的行為特征特點(diǎn)運(yùn)用基于API調(diào)用序列的向量方式表示的行為特征雖然敏感度不高但順應(yīng)性強(qiáng).3、行為特征碼檢測(cè)算法研討研討內(nèi)容建立行為特征庫(kù)，實(shí)現(xiàn)基于行為特征的檢測(cè)算法技術(shù)道路利用惡意代碼自動(dòng)分析平臺(tái)，統(tǒng)計(jì)惡意代碼行為特征研討行為特征的類(lèi)似度比較算法特點(diǎn)基于行為特征的啟發(fā)式檢測(cè)技術(shù)是現(xiàn)代檢測(cè)未知惡意代碼的先進(jìn)技術(shù)，降低誤報(bào)率和提高效率仍是關(guān)鍵問(wèn)題.4、難點(diǎn)及創(chuàng)新點(diǎn)研討難點(diǎn)基于虛擬執(zhí)行技術(shù)的通用靜態(tài)脫殼惡意代碼行為特征的提取和分析能夠的創(chuàng)新點(diǎn)對(duì)采用抗反虛擬執(zhí)行技術(shù)的加殼惡意代碼的靜態(tài)自動(dòng)脫殼惡意行為特征提取及類(lèi)似度比較算法.5、工程任務(wù)根底國(guó)家242信息平安方案工程：惡意代碼自動(dòng)分析平臺(tái)靜態(tài)分析動(dòng)態(tài)分析網(wǎng)絡(luò)分析某軍方工程：惡意代碼技術(shù)研討.6、預(yù)期研討成果惡意代碼技術(shù)和惡意代碼靜態(tài)分析檢測(cè)技術(shù)綜述設(shè)計(jì)實(shí)現(xiàn)惡意代碼分析平臺(tái)的靜態(tài)分析器靜態(tài)自動(dòng)脫殼API調(diào)用序列的靜態(tài)自動(dòng)提取基于API調(diào)用序列的行為特征提取和類(lèi)似度比較算法發(fā)表相關(guān)學(xué)術(shù)論文12篇.五、任務(wù)進(jìn)度安排2