38400字硕士毕业论文揭示虚拟环境中恶意软件的行为
论文类型:硕士毕业论文
论文字数:38400字
论点:恶意,软件,分析
论文概述:
本文前半部分分析了现有的沙盒产品,重点研究了API钩子的注入方式和拦截方式,并采用创建远程线程CreateRemoteThread函数的注入方式以及内联代码覆盖的拦截方式构建了沙盒Z-Monitor。我们在宿主
论文正文:
第一章导言
1.1
这一主题的背景和意义在过去十年里,互联网在中国迅速发展和普及。互联网改变了人们的思维方式和生活习惯,已经成为人们生活中不可或缺的一部分。然而,随着互联网的快速发展,网络安全形势越来越严峻。黑客、病毒、垃圾邮件和其他行为会影响人们对网络安全的信任。大规模网络攻击的频繁发生使得基于计算机安全的网络安全和保护越来越受到重视
当攻击者入侵机器并获得管理员权限时,可能会安装恶意软件,并可能进行各种恶意活动,如键盘记录或窃取私人信息。如今,攻击的复杂性正在增加。许多早期的恶意软件在木材中仍然是非常初级的,具有简单的代码并且倾向于单一任务,并且不使用诸如混淆之类的逆向工程技术。这些恶意软件可以通过软件分析技术手动分析,如反汇编和动态调试。但是现在情况已经发生了变化,恶念软件技术得到了很大的发展,功能更加丰富,其代码结构也相对复杂。一方面,一些逆向工程技术将被用来检查被发现的恶意软件的行为,从而导致攻击者捕获并抓取植入机器上的恶意软件。安全人员理解恶意软件非常重要。这是通过沙箱执行恶意软件并分析其行为的好方法。通过行为分析,我们可以了解恶意软件的基本结构和通信方式。
沙箱可以提供受控和受监控的环境,以便运行恶意软件不会损坏真正的主机系统。它是通过在虚拟环境中执行邪恶思想软件来实现的,虚拟环境可以模拟真实的处理器、内存和文件系统,而被监控的恶意软件不能访问真实的系统,因此不会造成伤害。在恶意软件分析的过程中,沙箱监控恶意软件对系统资源的访问,并阻塞山体。因此,它可以通过发信号、显示、解密和解压缩打包的代码、尝试建立网络连接以及打开文件来揭示恶意软件的行为。因为分析需要运行恶意软件,系统可能被感染。使用虚拟机技术可以在分析完成后将系统重置为干净且未受感染的状态。这是分析恶意软件的理想环境。我们讨论的分析形式完全基于恶意软件的行为,即所谓的行为分析(behavior analysis),它是相对于反汇编或调试器下执行程序指令的代码分析而言的。
最近有许多成熟的沙箱产品用于分析恶意软件。然而,不幸的是,由于动态行为分析系统是收集恶意程序的一种流行方式,相当多的恶意软件现在具有检测和分析环境的能力。当恶意软件检测到它正在已知的沙箱中运行时,它通常会终止其执行。鉴于这种情况,有必要开发一个具有独立分析能力的自主沙箱。
基于同样的考虑,我们在设计Z-Monitor时没有绑定虚拟平台,这对恶意软件自动化分析的实现有一定的影响。然而,正是由于可用虚拟机平台的多样性,Z-Monitor降低了针对虚拟机的恶意软件风险。
要揭示恶意软件的行为,需要解决以下基本问题:第一,恶意软件访问哪些数据目标;首先,恶意软件会产生什么样的网络通信?本文介绍的Z-Mon itor是一个运行在虚拟XP系统中的沙盒。通过在Z-Monitor中运行恶意软件,可以监控恶意软件对系统关键应用编程接口函数的调用,从而获得恶意软件进程信运行过程中的端口通信和恶意软件文件读取信息。Z-Monitor f回答了前两个问题,揭示了恶意软件在视窗中的行为,使我们对恶意软件的机制有了更深的了解。
通过Z-Monito:我们可以发现恶意软件的行为,这些行为不同于普通软件的行为。通过总结这些差异,我们可以将它们作为判断恶意软件的基础,这对于恶意软件行为检测技术来说已经足够了。以前的研究者已经对这个想法做了大量的研究。例如,根据可执行文件的API函数调用序列来反映程序的行为,舒尔茨(G.Schultz)等人提出使用贝叶斯算法等数据挖掘算法,通过比较相似性来提取恶意程序的特征。在文献中,软件的应用编程接口函数调用序列被提出作为程序的行为特征,并使用支持向量机(SVM)对其中之一进行分类。这些研究已经取得了一定的成果,但是他们总是期望在最广的范围内区分正常程序和恶意软件,恶意软件的特征行为将被巨大的正常软件行为所掩盖。
第三章系统描述、技术细节和跟踪……20-28[/比尔/] 3.1赫兹监控系统……20-21[/BR/]3.2 Z-Monitor.exe函数……21-24[/BR/]3.3 ApiMonitor.dll机具……24-28
第4章恶意软件行为分析……28-33
4.1监控的原料药功能……28-29
4.2恶意软件示例实验……29-31
4.3恶意软件行为摘要……31-33
第五章基于行为特征的检测包含……33-43
5.1分类恶意软件行为检测……33-34
5.2文档分析漏洞……34-36
5.3特征向量提取……36-40
5.4支持向量机原理……40-42
5.5实验结果……42-43
摘要
本文前半部分分析了现有的沙盒产品,重点介绍了API钩子的注入方法和拦截方法,并利用创建远程线程CreateRemoteThread函数的注入方法和内嵌代码覆盖率的拦截方法构建沙盒Z-Monitor。我们在主机上运行Linux系统Ubuntu,在Ubuntu中运行虚拟机软件VirtualBox,然后在VirtualBox中运行视窗XP系统,在XP系统中运行Z监视器。我们使用Z-Mo n ito”执行恶意软件,截取并监听被监控的关键API函数调用,在Z-Monitor的主边界血液上显示监控结果,并生成日志文件供以后分析。利用Z-Monitor对大量恶意软件支付进行了分析,总结了恶意软件的常见行为,对于理解恶意软件的机制、防范和打击恶意软件具有重要意义。
本文的后半部分介绍了基于行为分析的入侵检测方法。针对现有方法的不足,提出了分类检测的思想。鉴于目前使用PDF文档分析漏洞进行攻击并认识到其重要性的现状,我使用Z-Monitor来监控Adobe Reader,并使用它执行包含SheIICode和普通PD文档的PD”文档时获得的行为结果来构建数学模型。我们使用力一方法作为均方切片来选择特征函数,使用频率作为特征值,然后使用SVM良好的泛化性能在特征空处构造最优分类超平面来检测奥多比阅读器
参考
[1]计算机网络应急技术处理协调中心
[2]吟诵宣、约翰·科普兰和拉希姆·贝亚。在虚拟执行环境中揭示内核恶意软件行为[。RAID 2009,第304-325页。海德堡斯普林格(2009)。
[3]俄勒冈技术:代码虚拟器。
[4]约翰·胡普斯,艾伦·巴沃康,弗雷德·肖尔,保罗·肯尼利等.虚拟安全:沙箱,备灾,高可用性,法医分析和蜜罐[·杨千,谢志强译.北京:科学出版社,2010。
[5]徐俊英,宋佳,查维兹等.多态恶意可执行扫描程序通过应用编程接口序列分析[.华盛顿:IEEE出版社,2004: 378-383。
[6]舒尔茨·M,埃斯金·E,扎多克·E,等.用于检测新的恶意可执行文件的数据挖掘方法[]。罗杰·李约瑟2001年IEEE安全与隐私研讨会论文集,[。华盛顿:IEEE出版社,2001: 38-49。
王太华,谢春华.基于静态分析和数据挖掘方法的病毒预防模型[.IEEE 8t“计算机和信息技术研讨会国际会议”。华盛顿:IEEE出版社,2008: 288-293。
[8]中国研究报告,贝格e .一种快速“静态分析方法,用于检测网络流量中的漏洞代码
[C]。继续。入侵检测最新进展国际研讨会。华盛顿:2005年
[9]乌尔里希·拜尔,伊玛目·哈比比,大卫·巴尔扎罗蒂,恩金·伊尔达,克里斯托弗·克鲁格。对当前恶意软件行为的看法,[,李特\' 09。
[10]杰弗里·r .,克利斯朵夫·n .视窗核心编程(第5版)[·M]。葛子昂,司经,),3分钟车程。北京:清华大学出版社,2008。
[7]