恶意代码的分析与检测技术的研究.pdfVIP

信 息 技 术 SCIENCE＆TECHNOLOGY 恶意代码的分析与检测技术的研究① 翁雪城’ 杨云江 (1．贵州大学计算机科学与信息学院 ；2．贵州大学信息化管理中心 贵阳 550025) 摘 要 ：随着网络技术的飞速发展 ，恶意代码严重威胁着计算机及 网络安全。病毒，蠕虫等恶意代码不断变种，快速传播，信息安全受到 了P-大的挑战。恶意代码分析及检曩I问题成为当前网络研究工作的重点。本文在分析恶意软件相关理论基础上，探讨了恶意代码分析技 术和分析工具相关问题 。 ． 关键词：恶意代码 病毒 分析 检测 中图分类号：TP393．08 文献标识码 ：A 文章编号：1672—379I(2012)02(b)一O019—02 恶意代码 (Malicious Code)是一种违 行 自我复制 的代码 ，并需要人工交互传播 2 恶意代码分析方法 背 目标 系统安全策 略 的程序代码 ，通过 的代码 。病毒 一般不 能作为独立可执行文 恶意代码分析方法主要分为静态分析 各种手段造成 目标机器信 息泄密 、资源滥 件存在 ，它常在其它可执行文件运行时 自 和动态分析两大类 ，如图2所示。静态分析 用 、破 坏 系统 的完 整性及可 用性 。随着互 行 启动 ，通过可移动存储 器，电子邮件或共 不受特定运 行环境的限制 ，在不运行病 毒 联 网普 及 ，恶意代码也迅速 蔓延 。从2009 享 目录进行传播 。如cIH引导 区病毒、宏病 程序的情况下 ，详细分析病毒内部结构和 年 中国 “5．19全 国断 网事件 ”到 “百度被 毒和脚本病毒等 。 ’ 功能，分析效率高 ，但具有较大的局限性。 黑事件”，2Ol0年上半年CNCERT共接收 蠕虫 ：是一段 能进行 自我复制 、可独 2．I静态分析 4780次网络安全事件报 告(不包括扫描和 立 自动运行 的恶意代码 ，它不 需要人机 静态分析是指对可执行恶意代码的文 垃圾 邮件类事件)，与2009年上半年相 比 交互 ，通过嵌入正常程 序和系统 中的漏 件利用PE结构 、编译器原理等技术进行分 增长105％ 其 中，恶意代码 、漏洞和 网页 洞传播到其它网络 ，造成最严重的破坏 ， 析，要分析过程中不需要执行恶意代码。静 仿 冒事件报 告次数居前三位 ，所 占比例 难 以防范和检测 。如 网页蠕虫利用IFrame 态分析包括分析字符串、查看脚本 、二进制 分 别为：57．57％、25．96％和l5．48％。恶意 漏洞和MIME 漏洞进行传播 ，又如MOR— 分析 、反汇编以及可能的反向编译等。反编 代码 的快速发展 、广泛传播 ，对计算机信 RIs蠕虫等等 。 译技术和特征码分析 比较常用。反汇编是 息系统的保密性 、可用性和完整性造成 了 恶意移动代码 ：以脚本 、小型应用程序 指将C语言、C++等高级语 言编写的程序可 极大的威胁。在 当前恶意代码破坏加剧紧 和控制器的形式存在于网页上 ，当用户访 执 行文件反编译还原成汇编语言或其他高 迫情况下 ，探讨如何高效 、准确的分析恶 问某个Web站点时 ，通过 自动从服务器上 级语言 。利用反汇编技术将恶意病毒代码 意代码 ，最大程度消 除网络安全威胁 ，是 下载移动代码进行传播 。 转化成高级语 言后 ，能较为清晰地看 出恶 当今安全领域研 究 的重 点和热点 。 后门：是一个 允许攻击者绕过系统正 意代码的 内部结构 ，了解其系统调用 ，从而 常 的安全控制 ，不需要有效的验证 ，并且可 提高代码分析效率 。常见的反编译工具有 1 恶意软件及相关概念 能没有 日记记录便可进入 系统获得 系统访 Giampiero Caprino提供的逆向工程编译器 恶意软件 、恶 意