基于硬件虚拟化恶意软件行为分析系统.pdfVIP

黧塑。蕊凰． 基于硬件虚拟化的恶意软件行为分析系统 袁帅 (河南省经贸工程技术学校，河南郑州450000) c}i每要】基于虚拟化技术的恶意软件行为分析是近年来出现的分析恶意软件的方法。本文首先对当前主流恶意软件行为分析技术进行了探 讨，然后在此基础之襄出了一种基于硬件辅助虚拟化技术的恶意软件行为分析系绞——-THVA，并设计了性能测试实验采证明THVA的有 效性。 【关键词硬件辅助虚拟化；恶意软件行为分析；虚拟机自省；外部设备访问保护 1引言 以通过扫描CPUID空间中XEN的特征值来判断自己是否处于虚拟化 恶意软件行为分析是指计算机安全研究人员分析恶意软件在操作 环境中。 系统中的执行流程，及其对操作系统资源的影响。通过对恶意软件的行 另外，商用虚拟机软件需要保证软件功能的完整性和通用性，直 为分析，安全研究^、员可以找出针对性的方法修复和保护操作系统。 接导致了其源代码非常庞大和复杂。仅仅设备虚拟化模块的代码就达数 目前，恶意软件行为分析系统主要分为两种：一种是传统的恶意 百万行之多。但是，恶意软件行为分析系统并不需要所有的虚拟化功 软件行为分析系统，即行为分析系统与恶意软件运行于同一操作系统 能，过多不必要的虚拟化功能所产生的“边缘效应”只能为恶意软件感 中，不仅无法确保所提取恶意软佧信息的可靠性，其自身也容易受到恶 知虚拟化环境提供更多的机会。商用虚拟机软件庞大而复杂的代码带来 意软件的攻击；另—种是基于虚拟化技术的恶意软件行为分析系统，目 的另—个不利因素是增加了软件漏洞的出现机率，根据文献矧所述，每 前的XEN和VMware等商用虚拟机软件已经被运用到这一领域no但1000行软件源代码大约会出现6到16个漏洞。恶意软件利用这些漏 是，这种行为分析系统也同样存在问题——商业虚拟机的设计初衷与恶 洞不仅可以攻击VMM，甚至可以获得VMM的权限直接控制VM。 意软件行为分析系统的设计要求相违背，严重影响了基于虚拟化技术的 通过分析可以看到，当前恶意软件分析技术主要存在三个缺点： 恶意软件行为分析系统的安全性。 1)透明性较差，容易被恶意软件所发现： 2当前恶意软件行为分析技术及其缺点 2】代码不够精简，提供的功能很多是恶意软件行为分析系统不需 当前恶意软件分析技术包括了传统恶意软件行为分析技术和基于 要的，容易引发。边缘效应”和出觋软件漏洞： 虚拟化技术的恶意软件行为分析技术。 3)部分分析方法对恶意软件失效，这一点主要针对传统恶意软件 传统的恶意软件行为分析技术包括：反汇编技术、调试技术和黑 行为分忻技术。 盒测试技术。其中，反汇编技术是一种代码静态分析技术，它对于现在 3系统设计 恶意软件常用到的封包技术和动态代码转译技术是失效的。调试技术可 根据当前恶意分析软件存在的问题与不足，本文设计了一种新的 以用来分析恶意软件的每一条指令，但在分析恶意软件的同时容易被恶 基于硬件辅助虚拟化技术的恶意软件行为分析系统——丁HVA，～个利 意软件所感知，恶意软件可以在感知后采用if／then分支选择技术执行用硬件辅助虚拟化技术开发的微型VMM。 虚假行为，使得调试技术对于恶意软件行为分析的结果变得毫无意义。 THVA的设计目的是构造—们霆明的、精简的和安全的恶意软件行 黑盒测试技术并不存在E述缺点，但是这种技术所提供的恶意软件行为 为分析系统。出于这些考虑，在设计和实现过程中并没有选择XEN、 分析结果往往是不完整的，影响了恶意软件分析的可信性 VMware和Virtual PC等商用软件，而是选择在硬件辅助虚拟化技术 基于虚拟化技术的恶意软件行为分析技术利用虚拟机监视器 领域一直处于领先地位的AMD硬件厂商推出的安全虚拟机(SVM) (VMMj和虚拟机(VM)之间强大的隔离佐作为安