基于结构化指纹恶意代码变种分析.docVIP

基于结构化指纹恶意代码变种分析 　　摘要：提出了一种基于结构化指纹的静态分析模型，用于辅助逆向工作者对恶意代码及其变种进行分析。该方法依据所提取的恶意代码及其变种的结构化指纹特征，在调用图和控制流图两个层次对两个文件进行同构比较，找出发生改变的函数以及发生改变的基本块，从而帮助逆向工作者迅速定位和发现恶意代码及其变种的不同之处，便于进一步分析。该模型采用了结构化特征及素数乘积等方法，可以较好地对抗一些常见的代码迷惑手段，从而识别出一些变形的代码是等价的。 　　关键词：恶意代码； 变种分析； 结构化指纹； 静态分析 　　中图分类号：TP393．08文献标志码：A 　　文章编号：1001－3695(2008)03－0899－04 　　 　　0引言 　　 　　恶意代码即在运行时能够实现攻击者的破坏意图的软件。恶意代码通常包括病毒、蠕虫、木马、后门、rootkit以及利用软件安全漏洞对系统产生恶意行为的程序。为了对抗恶意代码对互联网安全的威胁，安全厂商从未停止对恶意代码的分析工作。对于逆向工作者而言，分析与识别恶意代码及其变种是一项繁重的工作。 　　本文的相关研究涉及到两个方面，即恶意代码的分析和检测及同源但不同版本的两个可执行文件的比较。 　　动态监测法是最常见的恶意代码分析方法。M.E.Wagner[1]实现的gatekeeper系统采用的是一种基于运行时动作序列特征的恶意代码分析模型。该模型包括可执行恶意代码的虚拟平台、监控引擎、匹配引擎和撤销引擎四个部 　　分。模型首先对恶意代码中动作序列特征进行大量的统计，为每种动作定义一种危险级别；然后在虚拟平台上运行受监测软件，记录其动作序列，并计算一定时间间隔内所采样的动作序列的危险级别之和，由此确定该软件是否为恶意代码。Zheng Hui[2]在测试恶意代码时使用了类似的方法，建立了一个恶意代码的测试温床(test bed)。T. Sabin[3]动态分析并统计了恶意代码执行过程中调用的系统函数序列，通过比较被分析的恶意代码之间的函数参数，确定两个恶意代码是否为变种的恶意代码。 　　由于恶意代码的本质特点，使得动态分析恶意代码的过程需要承担许多不可预知的风险。安全专家通过提取恶意代码的特征对其进行静态分析。MCF是加州大学戴维斯分院的R.W.Lo等人[4]开发的基于静态提取恶意代码特征的测试工具，通过对被测程序进行分片，分析各个分片是否满足恶意代码功能模型中的定义，确定被测程序是否为恶意代码。M.Christodorescu等人[5]提出了一种带注释的CFG方法来检测恶意代码变种的方法。2005年，C. Kruegel[6]提出利用恶意代码的结构化特征作为检测程序是否为恶意代码的依据。 　　将两个可执行文件进行比较，找出其中不同之处，过去主要用于PBO优化和补丁安全分析。T. Sabin[3]提出了基于同构图的指令差异比较方法。将两个可执行文件视做两幅图，其顶点可以是指令、常量等，而边则是控制流图中的边。在比较时，从图的入口点指令开始匹配，直到找到两个图中最相似的部分作为同构部分，不同构的部分则被认为是发生了改变的部分。H．Flake[7]提出结构化比较可执行文件的方法，通过与语义无关的结构化签名信息，可以发现不同版本的同源文件的差异，用于辅助定位补丁文件中发生安全修补的位置。随后，T.Dullien等人[8]继续了H.Flake的研究，增加了一些划分属性，改进了该方法。Funnywei[9]的方法增加了函数内部结构信息作为结构化签名的一部分，还改进图的重构方法，解决了文献[7]中不能解决的一些问题。 　　本文结合恶意代码的检测技术和可执行文件的结构化比较技术，提出了一种利用结构化指纹对恶意代码及其变种进行分析的模型。该模型能够自动分析恶意代码变种之间的差异，发现两个变种之间函数的匹配关系，以及函数内部基本块的匹配关系，并指出匹配的函数对中，哪些函数发生了变化，哪些函数没有发生变化,减轻了逆向工作的工作量。 　　 　　1结构化指纹 　　 　　结构化指纹就是依据结构特征对程序进行描述。从图论的角度看，可以将恶意代码（可执行文件）看做一幅图的图，即由多个函数控制流图组成的调用图。 　　调用图G=（F,E)。其中：F={f1,f2,…,fn}表示函数的集合；E表示边的集合，如果存在(fi, fj)∈E，则表示一个或者多个从函数fi到fj的调用。函数fi∈F本身也是一个连通的有向图，即控制流图Gi=(Bi,Ei)。其中：Bi={bi1,bi2,…,bim}表示基本块的集合；Ei表示边的集合，如果存在(bik,bjn)∈E，则表示一条从基本块bjk到bjn的控制流。 　　1．1节点的结构化指纹 　　节点的结构化指纹Si是一个三元组Si=(xi1,xi