自修改代码逆向分析方法地研究.pdf

摘要 摘要 恶意代码(Maliciouscode，Mal、Ⅳare)已成为互联网安全的主要威胁。随着 计算机的普及和互联网的发展，恶意代码造成的危害也越来越严重。为了提高对 恶意代码造成的网络攻击的应急响应速度，我们必须对恶意代码做出快速有效的 分析。恶意代码分析的目的是提取恶意代码执行时表现出的行为(mntime behavior)、解析其意图及其实现机理，为恶意代码的检测和清除提供参考。而恶 意代码作者为了对恶意代码进行保护，加大恶意代码分析的难度，往往通过加密、 变形和加壳等多种技术手段隐藏自身代码特征，阻碍恶意代码机理分析和特征提 取，躲避恶意代码检测。传统分析方法难以有效解决针对受保护的恶意代码的分 析问题。 针对恶意代码分析与软件安全测评等业务的需要，本文重点分析了典型恶意 代码软件保护关键技术以及恶意代码分析技术的最新进展，深入研究了典型自修 Code，SMC)的实现机理，在此基础上，针对典型SMC 改代码(Self_Modi匆ing 提出了一种基于硬件模拟器的逆向分析方法，取得以下几个方面的研究成果： (1)深入分析了典型SMC的实现机理，并初步建立了SMC模型。我们根 据动态生成代码①的生成方式、修改模式以及存储模式等因素，首次对SMC作 了初步的分类和建模，为后续的SMC分析方法奠定了基础。 (2)提出了一种基于硬件模拟器的可执行文件中动态生成代码的识别与提 取方法。本方法通过在模拟器中单步执行目标可执行文件，并通过截获虚拟系统 执行指令，使用影子内存监控程序执行过程中的内存写操作以及控制转移指令等 信息，识别提取程序执行过程中动态释放到内存中并得到执行的代码，获取分析 目标的数据信息。由于在硬件模拟器中对可执行文件进行动态分析，数据采集是 通过模拟硬件实现，而不是将恶意代码放在真实的CPU上执行，因此对实际系 统不造成任何影响。 (3)提出了一种基于硬件模拟器的动态链接库中动态生成代码的识别与提 取方法。本方法在模拟器中使用动态链接库加载程序引导加载动态链接库，设置 单步执行标志，仅使目标动态链接库文件中的指令在模拟器中单步执行，通过触 发动态链接库中入口点等函数的执行，并通过截获虚拟系统执行指令，使用影子 内存监控动态链接库中代码执行过程中的内存写操作以及控制转移指令等信息， 识别提取其执行过程中动态释放到内存中并得到执行的代码，获取分析目标的数 据信息。 (4)提出一种基于二进制文件重构的自修改代码分析方法。我们针对不同 回本文中动态生成代码是指：程序执行过程中动态释放到虚拟内存页面中并得到执行的代码。 I 摘要 类型的SMC提出了相应的重构方法，即在不改变其代码行为的前提下将提取的 动态生成代码恢复到原二进制文件中，生成完整的、可直接静态分析或运行的二 进制文件。以此为基础，分析人员可利用传统分析方法对其进一步分析，提高了 针对SMC的逆向分析能力。本方法原理简单，易实现，且具有较好的通用性， 不仅适用于可执行文件，而且适用于动态链接库。 (5)提出了一种基于代码覆盖的多路径分析方法。基于代码覆盖的多路径 分析方法重点解决了对循环代码的处理问题，通过标识判断条件节点，减少局部 路径被重复遍历的次数，在保证分析效果的同时，提高分析系统的分析效率以及 代码覆盖率。 (6)设计实现了一套SMC逆向分析原型系统，完成了SMC分析的相关实 验，对文中基于二进制文件重构的自修改代码逆向分析方法的有效性，分析效率 以及性能等方面进行了评估。 关键词：恶意代码自修改代码恶意代码分析静态分析动态分析二进制文件 重构 II ABSTRACT 7 intouSers orMaliciouS coInputers，