一种基于语义恶软件判定器框架的研究.doc

一种基于语义恶意软件判定器框架的研究 甘宏，潘丹 1(广州城建职业学院广州 510925) 摘　要：目前代码迷惑技术已经成为构造恶意软件变体的主要方式，大量出现的病毒变体使得传统基于程序文本特征的病毒排查工具的防护作用大大降低。本文提出了一种新的基于语义的恶意软件变体判定框架，为了确定一个程序是否是某种恶意软件的变体：首先基于符号执行收集程序语义状态，然后通过证明语义之间是否满足变体关系来确定该程序是否是恶意软件的变体。本框架能够识别经代码迷惑变换后得到的程序是属于变换前程序的变体，从而可以减少对病毒数据库的更新。最后，通过一个实现了该框架的原型系统来说明基于语义的恶意软件判定器框架的可行性。 关键词：恶意软件判定；代码迷惑；程序分析；符号执行 Malicious software based on semantic framework of determining device GanHong PanDan GuangZhou City Construction College GuangZhou 510925 朗读 显示对应的拉丁字符的拼音 字典 - 查看字典详细内容 Abstract:writing variations for malware. Unfortunately, the obfuscated variation invalidates the text-based malware detector. This paper proposes a semantics-based framework of malware detection for detecting whether a program is a variation of the malware. For that purpose, both of symbolic states are collected by symbolic execution, and then prove the semantics is satisfied with the definition of variation relationship. This framework can detect whether the malware is the variation of its obfuscated program, which will largely reduce the updating of virus definition database. Finally, the prototype which implements the framework shows the feasibility of the semantics-based framework of malware detection. Key words: Malware Detection, Code Obfuscation, Program Analysis, Symbolic Execution 问题的提出 代码迷惑[1]是一种以增加理解难度为目的的程序变换技术。它除了被用于主机安全方面，也被广泛地用来构造恶意软件变体。为了使得恶意软件判定器失效，恶意软件作者需要构造新的恶意软件，其中重要的手段就是使用代码迷惑得到新变体。这就为病毒判定技术带来了新的挑战[2]。 目前，商用病毒判定器主要是基于文本信息特征来定义病毒的特征码，如：特定指令序列的二进制值。病毒的判定过程通常是采用模式匹配的方式，来匹配程序中是否出现病毒数据库中定义了的文本信息特征码。基于文本信息来定义病毒的最大缺陷就在于：忽略了指令序列的语义。因此，很小的变异都需要构造新的特征码。如果出现大量病毒变体而无法及时构造特征码的话，传统的病毒判定器就将失去保护作用[2] [3]。 其实，代码迷惑是一种保语义的程序变换，因此，可以通过检查语义的相关性，从而判定恶意软件是否属于同一变体。这样就将增加病毒扫描器的描述能力，从而减少了对病毒数据库的更新。 本文的主要贡献是提出了一种新的基于语义的恶意软件判定器(Malware detector for Obfuscated Malware，简称MOM)框架，通过比较语义之间的相关性来确定一个程序是否是某种恶意软件的变体。 MOM使用符号执行[4]来收集程序的符号状态，构成程序的不变量；然后根据迷惑算法来指导产生验证条件：根据迷惑算法规范中定义的基本块之间的映射关系，选择这些基本块上的不变量构成逻辑上下文，再根据迷惑算法规范中定义的数据之间的映射关系，合成需要证明的公式；最后，基于构造得到的逻辑上下文，由自动定理证明器来证明合成所得公式的真伪。 本文设计的基于