恶意代码内存镜像分析方法研究-计算机技术专业论文.docx

独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除文中已经标明引用的内容外，本论文不包含任何其他个人或集体 已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均已在文中以 明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名： 日期： 年 月 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有权保 留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本 人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据库进行检索， 可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 本论文属于 保密□， 在 年解密后适用本授权书。 不保密□。 （请在以上方框内打“√”） 学位论文作者签名： 指导教师签名： 日期： 年 月 日 日期： 年 月 日 摘 要 随着网络技术的不断发展，利用恶意软件实施和隐藏犯罪的现象也日益普遍。 内存镜像分析技术通过分析获取到的受影响机器的易失性内存，提取目标系统当前 时刻的状态信息，找出与恶意软件行为相关的信息。目前内存镜像分析方法主要是 利用 Windows 系统运行时寻找对象的方法，结合链表遍历来实现对对象的检索，而 且目前很多都是基于特定对象进行分析，不能将内存镜像中的其他对象联系起来。 针对目前这些方法的缺陷，研究了恶意代码行为内存镜像分析方法。对内存对 象进行了定位和提取，设计了针对内存对象定位的池标签扫描方法，该方法以操作 系统内存池中对象结构体的特定标签作为识别对象的标志，能够有效的识别操作系 统的进程、网络、注册表、驱动、服务等各种系统对象，以及互相之间的关系。并 且能够发现恶意代码采用 Rootkit 手段隐藏的各种系统对象。在此基础上，结合内存 对象本身的权限、属性、内容；不同内存对象之间的从属关系、数量联系对恶意代 码行为进行多角度的检测，提出了恶意代码行为内存镜像对象分析方法。最后，通 过多内存镜像对比方法发现不同内存镜像的对象属性之间的区别，进一步对恶意代 码行为进行了补充和验证。 最后实现了原型系统，并对 Stuxnet 样本进行测试以及对 44 种恶意代码样本进 行实验。将实验结果与国内知名恶意代码分析引擎“文件 B 超”进行对比，显示内 存镜像分析可以准确地检测到恶意代码在进程、Hook、DLL、代码注入、注册表等 方面的可疑行为，表明提出的内存镜像分析方法的有效性。在此基础上利用多内存 镜像对比分析方法对 Hydraq 样本以及上述 44 种样本进行测试。多内存镜像对比方 法在 Hydraq 的检测中发现了可疑的文件以及网络行为还有新建的服务，有效地帮助 了确定恶意代码活动。在对 44 中样本检测结果中，检测出的恶意代码行为数量在单 镜像内存分析的基础上增加了 19.7%，提高了内存分析方法的准确性。 关键词：内存镜像分析；对象定位；标签扫描；镜像对比 Abstract With the continuous development of network technology, the phenomenon that use malware to implement and hidden crime is also increasingly common. Memory mirroring analysis technology extracts the target system?s current time?s status information to find out the relevant malware?s information through analyzing the affected machine volatile memory. The main idea of current memory mirroring analysis is to find out the objects? methods while the Windows system is running, combining the list traversal to achieve the objects? retrieval and analysis. Moreover, many are based on the analysis of the specific object, which could not be linked to other factors in the memory. It has researched the memory mirroring analysis method of malw