1、 南开大学硕士学位论文基于层次化差异比较法的恶意代码分析技术的研究与实现姓名:李嵩申请学位级别:硕士专业:计算机应用技术指导教师:徐敬东201105本 文针 对传 统 分析 技术 的 不 足 , 提 出 了 一种基 于 层次 化 差 异 比 较 法 的 恶 意代码 分析 技术 。层次 化 差 异 比 较 法 的 核 心 思 想 是 : 将整 个 分析 过 程 分为若干 层次 , 运 用 不 同 的 检测 手 段 对各 个 层次 的 信 息 进行搜 集 , 发掘 各 个 层次 的 状 态 信息 差 异 , 分析 差 异 产 生的 原 因 从 而 掌握 恶 意 代码 对系 统 的 篡 改 、攻 击
2、 、自我 保护 等 行为机 制 。本 文的 主要 工作和 贡献 有 : 第 一、分析 了 恶 意 代码 的 通 用 运 行机 制 , 并 对各 种恶 意 代码 的 恶 意 行为进行了 总 结 ;第 二、对恶 意 代码 经 常攻 击 的 系 统 内 存 、系 统 进程 、注 册 表 、文件系 统 等 操 作系 统 对象的 相 关 理论 知 识 进行了 介 绍 ;第三 、提 出 了 层次 化 的 概 念 , 将分析 过 程 分为恶 意 代码 入 侵系 统 前的 检测 和 入 侵系 统 后 的 检测 两 个 层次 , 再 将恶 意 代码 入 侵系 统 后 分为用 户 层检测 和 内 核 层检测 两
3、个 层次 , 并 给 出 了 系 统 状 态 信 息 的 搜 集 算法 ;第 四 、设 计 并 实现了 基 于 层次 化 差 异 比 较 法 的 恶 意 代码 分析 系 统 。, ;簎 ; ; 第 一章绪 论当 今 时代 信息 技 术 迅猛发 展 ,人们 的 日常 生活 与 工 作已 经 越 来越 离不开 计算机 系 统 。 当 我 们 尽 情 享 受 着信 息 技 术 带来 的 巨 大 便利 时,我 们 又 无时无刻 不在面临 着诸如 黑客攻 击 ,信 息 失 窃 ,病 毒 侵 扰 等 许多信 息 安 全 威胁。 信 息 安 全 特别 是 网 络安 全 已 经 受 到 了 巨 大 的 挑战
4、,这将 直接影 响政 府 的 日常 工 作,企业 的正常 运 营 以及 个人的 切身利 益 。图 过 ;电 子 商 务 网 站访 问 者 中 娜 说 募 倜巴 荆 渲 校 的 人表 示 如 年上 半 年网 络安 全 事 件 报 告 类型 统 计图综 上 ,恶 意 代 码正严重 制 约 着互联 网 的 健 康发 展 ,严重 威胁着整 个信 息 系统 稳 定 与 安 全 。 目 前 恶 意 代 码发 展 迅速 ,其 种 类更 加繁 多,传 播 方 式 更 加多样 ,传 播 速度 极 快,更 加难 以清 除 。 如 何 遏制 恶 意 代 码,营 造 安 全 稳 定 的 信 息 环 境 ,使 企业 及
5、 个人免受 危害 ,减 少损 失 ,这成 为 信 息 科 学领 域 一个极 具现 实 意 义的研 究课题 。是计算机病毒 【 浚 甏 珻 开 发 了一种 具 有破 坏 性 的程 序, 它 在 运 行第 三节 研 究意义和目标我 们清楚 地看 到 , 恶 意代 码 是 计算 机 技 术 发展 的 产 物, 它不是 短期内 即 可 消除 的 , 并且 它 的 攻 击性和隐 蔽 性日 益 增 强 , 对信 息 系统 的 威 胁也日 趋加强 。要想 真 正遏 制恶 意代 码 的 攻 击, 将 其 检 测出 来 并加以 排 除 , 必 须先 对其 工作 性质 ,运行 机 理进 行 详细 分析 。基于 此
6、 , 本 文 主要 的 研 究内 容 与目标 为 : 运用 层次 化差 异 比较 法 , 搜集 恶 意代 码 入 侵前后 系统 状态 信 息 的 改 变 情 况, 掌握 其 恶 意行为 并发掘 其 隐 匿在 系统 中的 蛛丝 马迹, 从 而 深 入 分析 恶 意代 码 的 工作 机 制, 为下 一步的 恶 意代 码 检 测与防 御 打 下 坚 实基础 。第 二章 相 关背景 知 识 介绍恶 意代码 的通 用攻 击 流程 图第 二章 相 关背景 知 识 介绍制 到新 的 目标主 机 中 。其典 型代 表是 出 请 求,服 务 器 接 收 请 求后 做出 相 应动 作 ,具 体 行 为 包 括 :
7、加 载项“”和“,它们 分 担 着 系 统启动 时 自动 运 行 和加 载功能 。 某 些病 毒 便会在 这 些系 统文件 中 动 手脚 ,修改其 原始 项,以 便在 系 统启动 时 自动 运注 册 表 中 含 有“ 的 启动项 也 是木马经 常 隐 匿的 地 方 。木马常 修 改以“ 开 头 的 键 值 来达到 其 隐 藏 启动的 目 的 。其 具体 注 册 表 项 位 置 分 别为以下 几项 : !狶 躍 躓 躶 哦 綢 矗 甿 黾 飅 甼 躍 躓 标 主 机 使 用了 什 么 操 作 系 统 ,目 标 主 机 内有哪 些 个 用户 ,该 系 统 存 在 哪 些 漏 洞第 二章 相 关背景
8、 知 识 介绍 釉豏 代码 低撤 衩 枋 龇 的 数据 表 里 查 找第 二章 相 关背景 知 识 介绍 位 置 上当 进程 结 束 的时候 ,该 进程 的 结 构 又 会 在 该 链表上删 除 。 恶意物 理内存 指的是 物 理上,真实 存 在 的插 在 主 板 内存 槽上的内存 条的容量 的大 小 。 物 理地 址是 指放 在 寻址总 线 上的地 址。 放 在 寻址总 线 上,如果 是 读 ,电路根 据这 个 地 址每 位 的值 就将 相 应地 址的物 理内存 中的数据放 到 数据总 线 中传输 。 如果 是 写 ,电路根 据这 个 地 址每 位 的值 就将 相 应地 址的物 理内存 中放
9、 入数据总 线上的内容。第 二章 相 关背景 知 识 介绍项 , 在页目 录 表 中的起 始位 置 。取出其内 容,其高 位 为 页表 地址 指 针 ,低 位 为 该 页目 录 项 的属 性 。再 将 虚拟 地址 中间 位 乘 拢 部 沙莆 S没 恪 操 作系 统 的每当 应 用 程 序 需要用 到 系 统 内 核 或内 核 的扩 展模块 诤 饲 绦 所提供 的服 务时 【 ”】 ,应 用 程 序 通 过 硬 件 指 令从 用 户模式切换 到 内 核 模式中;当 系 统内 核 完 成 了 所请 求 的服 务以 后 ,控 制权 又回 到 用 户模式代 码 。基 于 此 ,在内 核态 下 编 写的
10、代 码 较 用 户层的应 用 程 序 更接近 系 统 底 层,拥有 更高 的权 限,因而具有 更强大的功 能 。无 论 是 编 写恶意代 码 还 是 开发遏 制恶意代 码 的工 具都 需要即插 即 安 全 引对 象管 理器内核第 三节 恶 意代码 分 析技 术 的 研究 与 归纳第 二章 相 关背景 知 识 介绍恶 意 代码 行 为 特征 归纳恶 意 代码 在 新 建文 件 时一般会创 建两种文 件 , 即可 执 行 与 不 可 执 行 文 件 。 在修 改 往 往 针 对 的对 象是 低车淖 源 募 热 鐆 目 录 下 的第 二章 相 关背景 知 识 介绍 鳌 鄹 南 低衬 诤耍 竦 孟 低
11、晨刂 迫 绻 夜 诚低撤 竦 刂 繁怼 和 热 嘶 垢 隽 薌 窗 口 的 建 立 、 僵 尸网络 行为 、 虚拟动 态 分 析法 需 要 实 际 运行程序 , 因 此 无 论 代码 采用 何 种 变 换方 式, 最 终 都会在 预先指 定 的 环 境 中 显 露 自 身 的 运行状 况, 因 此 动 态 分 析法 可以 有 效遏制 恶意 代码 的 “变 形 刀技 术 。 而 且, 动 态 分 析与 静止地 观 察理 解 代码 功 能 的 静态 分析法 不同, 通 过 实 际 监视 代码 的 运行过 程, 操 作员可全 面掌 握程序 的 跳转 流 程、执 行动作。第 二章 相 关背景 知 识
12、介绍恶 意 代 码 分析 技术 的 研究 现 状百 度 百 科给 出的 逦 ! 浚骸 皐 文件 搜索 与 感染 : 硒 烈 赿 隽 襡 复制删除 文件 、 、 更 改 文件 属 性要 流 程 如 下 【 】 :第 二章 相 关背景 知 识 介绍图 沙盒 分析 系统 结 构图其 具体 分析 流 程 是 :意 代 码 分析 技术 【 】 , 其 流 程 是 :图 木 马 的 语 义 关系框 架 图第 二章 相 关背景 知 识 介绍基 于 差 异 比 较 的 过 程 , 只要 发现 了系统 状态 的 改 变 情况 , 即可 掌握其 相 关恶 意 行为 , 因 此 操 作 比 较 简 单 , 分析 结 果比 较 清 晰 明 确 。 差 异 比 较 法 对 信 息 的获 取 要 求比 较 严 格 , 它 需 要 全 面 准 确 地 掌握系统 状态 , 而 且 该 技术 多 用 于 发掘恶 意 代 码 的 隐 藏手 段 , 对 于 整体 把 握恶 意 代 码 的 行为 动态 还 需 要 更 加 深 入 的 研究 。第 三章 基 于层次 化 差异比 较 法 的 恶 意 代 码 分析 系 统 的 研 究
