基于可识别函数序列的恶意代码分析方法研究 [王德强].pdfVIP

基于可识别函数序列的恶意代 码分析方法研究 王德强 目录 目的 用途 原理 结构 实例 目的 判断恶意代码类型 通过恶意代码运用API 函数的情况,判断恶意代码 是否具有通信隐藏、进程隐藏、自我复制、主动 攻击等各种功能，进而区分恶意代码的类别 判断恶意代码功能 恶意代码的功能比如：自启动的方式、通信隐藏 的方式进行判断。 用途 网络应急处理的需要 防治措施（启动方式、顽固性分析） 攻击类型（dos攻击、信息窃取） 反病毒工作的需要 行为模式 特征码 基本原理 恶意代码判定方法 静态分析法 在不执行恶意代码的情况下进行分析。可以分为 源代码分析、反汇编分析、二进制统计分析三种情 况。 动态分析法 通过检测恶意代码执行的过程，分析执行过程中 的操作进行分析。一般通过检测执行过程中的系统 调用或者检测执行前、后系统变化情况来实现。 我们选择的是静态分析的方法 基本原理 恶意代码判定方法 Windows是一个分层的系统，可以分为用户 层和核心层 用户层不能直接操作系统资源 核心层通过API 向用户层提供服务 可以通过用户程序使用API 的情况判定程序 对系统资源的使用情况也就可以基本判定程 序的功能和动机 基本原理 信息提取 静态调用 直接使用call指令调用相应的API 函数 动态调用 动态调用需要使用kernel库中的两个函数，在程序运行的过 程中在如动态连接库和API 函数 载入后直接调用 载入后转储调用 静态调用在不能载入连接库的时候程序出错，动态 调用在不能载入连即可的时候其他部分可以运行 基本原理 信息提取 静态调用过程分析 通过文件结构分析技术，直接从文件引入表中获 取API 函数序列。运用这种分析方式可以得到精 确的API 函数名 动态调用过程分析 通过查找GetProcess函数的调用参数分析可能存 在的API调用。运用这种分析方式，只能得到API 函数名的特征，不一定精确。 基本原理 信息提取 执行程序在结构上是一个图中图 API 函数是图中的节点 系统中所有的API 函数形成一个集合 对每一个API 的调用过程就是一个分支结构 将图的每一条路径上的API序列形成一个向 量 所有的API 向量形成一个调用矩阵 基本原理 判定规则 应用层的恶意代码需要使用一些列的API 函 数完成特定的功能，这些具有特定功能的 API 函数序列就是判定规则 基本原理 判定方法 每一条判定规则代表程序的一个执行路径 判定过程就是在程序结构图中查找判定规则 所描述的执行路径。找到就表示满足规则 判定理论依据：欧基里德距离 判定方法归纳成三种模式：存在性分析（是 否运用）、确定性分析（参数调用）、结构 性分析（组合调用） 结构 输入部分规定分析的内 设计实现 将知识库解析