检索结果-南通市图书馆

在线全文

学校读者我要写书评

暂无评论

基于虚拟机自省的恶意软件分析技术研究

基于虚拟机自省的恶意软件分析技术研究

作者：李城烨国防科学技术大学

学位级别：硕士

云计算是通过网络提供方便、廉价的计算服务,但其安全问题一直是用户最关注的。虚拟化作为云计算的支撑性技术,其中的虚拟机本身存在风险,进而危害到整个云计算系统的安全性。本文研究利用虚拟机自省技术对虚拟化环境中虚拟机恶意软件... 详细信息

云计算是通过网络提供方便、廉价的计算服务,但其安全问题一直是用户最关注的。虚拟化作为云计算的支撑性技术,其中的虚拟机本身存在风险,进而危害到整个云计算系统的安全性。本文研究利用虚拟机自省技术对虚拟化环境中虚拟机恶意软件进行检测和监控,改善虚拟机安全性能。主要工作包括:首先,提出了一种基于虚拟机自省的恶意软件分析原型方法。通过解析内核调试文件获取关键数据结构的相对虚拟地址,经过内存虚拟化计算出内核物理基地址,从而得到内核函数在内存中的分布情况。通过断点注入的方式监控每个内核模块和函数的调用情况。通过监控CR3寄存器,捕获进程发生上下文切换事件。遍历该进程所加载的模块和该模块内的函数,对需要监控的函数注入INT3断点,虚拟机继续执行对应的函数时,执行流程就会被劫持为自省机制的监控流程,从而提取系统调用序列等相关信息。使用n-gram的方法产生聚类特征,将序列数据转化为特征向量,基于这个特征向量可以计算出不同行为的分析报告之间的相似度,在此基础上采用聚类分类算法对系统调用序列进行分析。实验结果验证了其有效性。其次,提出了一种分离式虚拟机自省模型。该模型的基本思想是将原本运行在特权域的VMI模块迁移至用户域,由一个专门运行VMI工具的虚拟机执行对其他用户域虚拟机的监控工作。从而降低了特权域的可信计算基,降低了被攻击的可能性和遭受攻击后的损失。实验结果表明,该模型同样可以完成原来虚拟机自省任务,在功能性上没有减弱,但由于VMI运行的用户域虚拟机,相对于特权域的权限较低,所以在执行过程中性能有所降低,但还在可以接受的范围内。总之,为了提高云计算的安全性,本文提出并实现了利用虚拟机自省技术分析虚拟机内部运行的恶意软件,并在此基础上提出了分离式虚拟机自省模型提高了虚拟机自省技术本身的安全性,通过相关实验验证了方法的可行性和有效性,同时系统的性能也得到了保证。

关键词：云计算安全虚拟机自省系统调用提取恶意软件分析

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

恶意软件网络协议的语法和行为语义分析方法

软件学报 2011年第7期22卷 1676-1689页

作者：应凌云杨轶冯登国苏璞睿中国科学院软件研究所信息安全国家重点实验室北京100190 中国科学院研究生院信息安全国家重点实验室北京100049 信息安全共性技术国家工程研究中心北京100190

网络协议逆向分析是恶意软件分析的一项重要内容.现有的网络协议逆向分析方法主要考虑获取消息格式和协议语法,缺少数据的行为语义,导致分析者难以在网络数据和恶意软件行为之间建立起对应关系.提出一种网络协议的语法规范和字段行为语... 详细信息

网络协议逆向分析是恶意软件分析的一项重要内容.现有的网络协议逆向分析方法主要考虑获取消息格式和协议语法,缺少数据的行为语义,导致分析者难以在网络数据和恶意软件行为之间建立起对应关系.提出一种网络协议的语法规范和字段行为语义分析方法,该方法利用基于虚拟执行环境的动态程序分析技术,通过分析恶意软件对网络数据的解析过程提取协议语法信息,并根据恶意软件对协议字段的使用方式获取字段的程序行为语义.通过结合API拦截和指令执行监控,该方法降低了分析复杂度,提高了分析效率.在所设计和实现的原型系统Prama(protocol reverse analyzer for malware analysis)上的实验结果表明,该方法能够较为准确地识别字段,提取协议语法规范,并能在命令字段与其引起的程序行为之间建立起有效的对应关系.

关键词：恶意软件分析网络协议逆向分析动态分析网络安全

在线全文

学校读者我要写书评

暂无评论

Android恶意软件检测研究与进展

武汉大学学报（理学版） 2015年第1期61卷 21-33页

作者：彭国军李晶雯孙润康肖云倡武汉大学计算机学院湖北武汉430072 空天信息安全与可信计算教育部重点实验室湖北武汉430072 中国人民大学法学院北京100872

针对持续恶化的Android安全形势,从恶意软件检测的角度,首先总结了Android恶意软件在安装、触发和恶意负载方面的特征和发展趋势;以此为基础,结合Android平台特性和移动智能终端环境限制,系统化论述了现有Android恶意软件分析与判定技术... 详细信息

针对持续恶化的Android安全形势,从恶意软件检测的角度,首先总结了Android恶意软件在安装、触发和恶意负载方面的特征和发展趋势;以此为基础,结合Android平台特性和移动智能终端环境限制,系统化论述了现有Android恶意软件分析与判定技术,指出了权限分析、动态分析和静态分析的实现方法及其优缺点;介绍了基于特征值和基于启发式的恶意软件判定方法.最后,根据已有Android恶意软件检测研究的不足,提出了未来的研究方向和发展趋势.

关键词： Android 恶意软件特征恶意软件分析恶意软件检测

在线全文

学校读者我要写书评

暂无评论

抗混淆的Android应用相似性检测方法

华中科技大学学报（自然科学版） 2016年第3期44卷 60-64,76页

作者：王兆国李城龙关毅薛一波哈尔滨工业大学计算机科学技术学院黑龙江哈尔滨150006 国家计算机网络应急技术处理协调中心北京100029 清华大学清华信息科学与技术国家实验室北京100084

为了对抗混淆问题,更好地应对相似性检测需求,基于抗混淆的7种应用代码特征,以及抗混淆的音频和图片文件特征,提出一种新型的抗混淆相似性检测和评估方法.并基于该方法实现了可满足大数据分析环境的原型系统.通过该系统对1 259款恶意应... 详细信息

为了对抗混淆问题,更好地应对相似性检测需求,基于抗混淆的7种应用代码特征,以及抗混淆的音频和图片文件特征,提出一种新型的抗混淆相似性检测和评估方法.并基于该方法实现了可满足大数据分析环境的原型系统.通过该系统对1 259款恶意应用和12个应用商店的288款应用进行分析,结果表明:该方法可有效对抗混淆攻击,完成同源性分析,依据同源性分析结果可对零日恶意应用进行识别.实验证明该方法可有效对抗代码混淆给相似性检测带来的问题,特征选取具有全局性,效果优于同类方法.

关键词： Android应用抗混淆特征相似性检测恶意软件分析声纹特征代码特征

在线全文

学校读者我要写书评

暂无评论

基于多路径探索的恶意软件逃逸检测

基于多路径探索的恶意软件逃逸检测

作者：徐钫洲华中科技大学

学位级别：硕士

分析恶意软件时,静态分析较为高效但易受加密、加壳等混淆技术的影响,而动态分析捕获具体执行的行为所以更具鲁棒性。但恶意软件开始使用逃逸技术获取环境信息,并在检测为动态分析环境时执行不同的路径以阻碍动态分析。虽然已知的逃逸... 详细信息

分析恶意软件时,静态分析较为高效但易受加密、加壳等混淆技术的影响,而动态分析捕获具体执行的行为所以更具鲁棒性。但恶意软件开始使用逃逸技术获取环境信息,并在检测为动态分析环境时执行不同的路径以阻碍动态分析。虽然已知的逃逸技术可以明确进行应对,但是缺乏完整先验知识的逃逸技术则需要采用更通用的应对方法,如采用不确定条件的逻辑炸弹,以及其他没有部署应对策略的和未知实现的未支持逃逸技术。为此,提出了一种自动探索逃逸恶意软件的方法,利用污点分析和概率计算指导的多路径探索来高效应对逃逸技术。首先基于动态覆盖信息计算路径的执行概率,并使用污点分析识别使用不确定条件的逃逸技术的相关分支。随后优先选择具有较低概率的分支以及被污点信息影响的分支进行探索,而探索由强制执行直接设置所选路径的分支结果实现。此外,利用主动反逃逸对策应对已知的逃逸技术来减少多路径探索的开销。还提供了敏感行为的相关信息以辅助进一步的人工分析。根据该方法实现了一个原型系统。通过在一组使用了多种逃逸技术的样本上的实验,表明系统能够通用而高效地应对逃逸技术。其中概率计算在不需要先验知识的情况下指导多路径探索,进而应对未支持的技术,并且在复杂的控制流上能以显著少于线性探索的轮数应对逃逸技术。此外,污点分析能够准确地识别逻辑炸弹相关的分支并优先进行探索。

关键词：恶意软件分析逃逸检测动态二进制插桩强制执行污点分析

Windows系统恶意软件中的虚拟化对抗技术研究

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

保密科学技术 2016年第10期 26-32页

作者：张家旺国家计算机网络应急技术处理协调中心

虚拟系统提供了隔离的虚拟化行为监控环境,被广泛应用于恶意软件分析和检测,攻击者使用一系列技术手段来探测、躲避虚拟化环境。本文详细介绍了当前已知的虚拟环境探测与逃逸技术,并给出相关技术代码,以期帮助恶意软件分析人员快速准确... 详细信息

虚拟系统提供了隔离的虚拟化行为监控环境,被广泛应用于恶意软件分析和检测,攻击者使用一系列技术手段来探测、躲避虚拟化环境。本文详细介绍了当前已知的虚拟环境探测与逃逸技术,并给出相关技术代码,以期帮助恶意软件分析人员快速准确地识别出这些对抗技术,并采用有效的技术手段,降低其分析难度。

关键词：恶意软件分析虚拟化逆向工程

在线全文

学校读者我要写书评

暂无评论

基于特征提取的二进制代码比较技术

计算机工程与应用 2006年第22期42卷 8-11页

作者：曾鸣赵荣彩姚京松王小芹中国人民解放军信息工程大学计算机科学与技术系郑州450002 清华大学计算机科学与技术系北京100084

二进制代码比较技术在病毒变种分析、安全补丁分析、版本信息导出等许多领域都有着广泛的应用。在定义了基于图的二进制代码描述方法的基础上,从函数和基本块两个层次对近似的二进制代码进行比较,分析出它们之间相同的部分和差异信息。... 详细信息

二进制代码比较技术在病毒变种分析、安全补丁分析、版本信息导出等许多领域都有着广泛的应用。在定义了基于图的二进制代码描述方法的基础上,从函数和基本块两个层次对近似的二进制代码进行比较,分析出它们之间相同的部分和差异信息。讨论了基于图的二进制文件特征的选取,利用特征比较和固定点传播算法,建立两份代码在函数和基本块两个级别的对应关系。论文给出了这种基于特征提取的二进制代码比较技术的实现框架,并列举了它在恶意软件变种分析,公开漏洞定位方面的利用实例。

关键词：二进制代码比较函数控制流图恶意软件分析

基于语义的二进制代码反混淆方法的研究与实现

在线全文

学校读者我要写书评

暂无评论

基于语义的二进制代码反混淆方法的研究与实现

作者：王蕾西北大学

学位级别：硕士

代码混淆技术常被恶意软件用于躲避查杀工具的检测,增加安全分析人员逆向分析的难度和开销。因此,去除或降低代码混淆对恶意软件的影响,即二进制代码反混淆在恶意软件分析中起着至关重要的作用。已有的二进制代码反混淆方法通常只针对... 详细信息

代码混淆技术常被恶意软件用于躲避查杀工具的检测,增加安全分析人员逆向分析的难度和开销。因此,去除或降低代码混淆对恶意软件的影响,即二进制代码反混淆在恶意软件分析中起着至关重要的作用。已有的二进制代码反混淆方法通常只针对特定的混淆方法,不适用于未知的混淆,且这些方法大多基于动态分析,面临代码覆盖率低的问题。因此,本文提出了一种基于语义的二进制代码反混淆方法SeeAD,该方法不需要对被混淆程序所使用的混淆机制有任何假设,能同时适用于大多数已有的和未知的混淆方法。本文对基于语义的二进制代码反混淆方法的研究,主要包括以下四大方面：(1)针对已有二进制代码反混淆方法只适用于特定混淆方法的问题,提出了语义相关指令识别方法,结合动态污点分析与控制依赖分析捕获程序显式和隐式的信息流,识别所有与程序语义相关的指令。(2)针对动态分析会导致代码覆盖率低的问题,提出了低开销的多执行路径构造方法用于收集尽可能多的、功能相异的执行路径。该方法不需要任何辅助信息,并且通过语义相关指令识别,缩减了程序的谓词搜索空间,降低了系统开销。(3)为了更容易地分析和理解被混淆程序的行为,引入了内存监视与代码注入相结合的API反混淆方法,提取和恢复隐藏于恶意软件中的API函数信息。(4)设计并实现了基于语义的二进制代码反混淆原型系统,通过一组混淆后程序,对本文提出的方法进行实验分析与评价。实验结果表明SeeAD方法对于大多数代码混淆是有效的。

关键词：恶意软件分析代码反混淆语义动态分析代码覆盖率

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

针对性能比较的反虚拟环境检测方法与实现

针对性能比较的反虚拟环境检测方法与实现

作者：魏龙大连理工大学

学位级别：硕士

当前计算机产业得到了空前的发展,互联网已经不仅仅局限于为人们提供网络服务,而是已经深入到生活、学习和工作的每一处。但是科技发展给我们带来的永远不会只有好处。目前在互联网上泛滥的各种病毒,木马,蠕虫,广告软件等等都是恶意软件... 详细信息

当前计算机产业得到了空前的发展,互联网已经不仅仅局限于为人们提供网络服务,而是已经深入到生活、学习和工作的每一处。但是科技发展给我们带来的永远不会只有好处。目前在互联网上泛滥的各种病毒,木马,蠕虫,广告软件等等都是恶意软件,而现如今的恶意软件可能会兼具多种类别特征,令安全软件难以检测,造成更大的危害。因此,对于新出现的恶意软件,我们必须能够在最快的时间内了解它的运行机理,才能及早的做出预防措施。计算机安全人员需要对获取的恶意软件样本进行分析,得到它们的执行路径,确定它们的意图,从而制定相应的防护措施。由于无法预知新型恶意软件的行为,所以安全人员在进行恶意软件分析时,主要采用在虚拟环境中运行样本的方法,以免对真实的主机造成破坏。但是越来越多的恶意软件已经能够判断它所在的环境是否为虚拟环境,以此来防止自己被分析。针对VMware的虚拟环境检测手段已经有非常多,当前安全人员已经能够拦截这些虚拟环境检测。经过安全人员的努力,现在主流的虚拟环境检测方法已经无法检测到最新版本的VMware虚拟机。但是对于新提出的基于性能比较的虚拟环境检测方法,还没有一个有效的拦截手段,这种方法通过数据统计的方式,得到真实主机和虚拟环境中执行特权指令的性能差异,确定两者之间的界限,从而检测虚拟环境;目前对它进行拦截的反虚拟环境检测方法还没有出现。本文针对基于性能比较的虚拟环境检测方法提出了一种有效的对抗方法,采用了IDA（Interactive Disassembler Professional）插件技术,该插件在VMware虚拟环境中可以实现对该检测方法的拦截。论文实现拦截过程时使用IDA的递归下降扫描算法,通过设置并扫描查找恶意软件样本中的目标指令来确认样本类型。该算法具有区分代码与数据的强大能力,作为一种基于控制流的算法,它很少会在反汇编过程中错误地将数据值作为代码处理。这为扫描目标指令提供了正确率的保证。其后在动态运行过程中修改恶意软件获取的指令执行性能,同时也能够使得恶意软件能够正常运行,能够顺利的在IDA环境中对具有虚拟环境检测功能的恶意软件进行分析。为了证明改进本文方法的有效性,我们使用两个实际的恶意软件样本对其进行验证,结果证明本文的方法是高效可行的。

关键词：恶意软件分析反虚拟环境检测性能比较 IDA插件反汇编