恶意软件动态分析中的反检测技术及其对抗策略-张毅飞.pdfVIP

ThenameoftheDepartmentBeijingForestStudio

北京理工大学信息系统及安全对抗实验中心部门名称

恶意软件动态分析中的

反检测技术及其对抗方法

恶意软件反检测及其对抗

张毅飞博士研究生

2020年09月26日

内容提要

•背景简介

•基本概念

•恶意软件反检测方法及实例

•算法原理

•反检测技术的对抗策略

•参考文献

2

背景简介

•预期收获

–1.了解恶意软件动态分析技术

–2.了解环境感知型恶意软件使用的反检测方法及实例

–3.了解部分高水平文献中的反检测算法原理

–4.了解反检测技术的对抗策略

3

背景简介

•2017年，在全球大肆爆发的蠕虫病毒“永恒之蓝”

（WannaCry）在运行开始会尝试打开一个不存在的域

名，如果此域名能被正确解析，病毒则不会执行。

–攻击逻辑是什么？

–为什么要这样做？

4

背景简介

•用户真实主机中打不开该域名

•恶意软件动态分析中使用的沙箱系统会模拟响应结果

•检测环境or攻击目标，勒索病毒躲避沙箱系统的针对性

分析，达到隐藏自己和逃避检测的目的

•环境感知恶意代码的一个典型样例

5

背景简介

•攻击者在环境感知型恶意代码中加入系统检测代码

–恶意软件逃避分析检测，提高对真实主机的破坏机率，根据

反检测与识别结果，决定下一步的实施动作

–对安全人员成功分析恶意代码造成障碍，影响获取样本的行

为数据，无法深入分析恶意代码造成影响与危害

6

背景简介

•环境敏感型恶意软件的威胁

–恶意代码主要的危害并非环境感知，但环境感知能力提高了

其生存能力，增大了对攻击目标的安全威胁

–反检测涉及诸多反虚拟化技术，对以虚拟化技术为基础的大

数据、云计算等平台带来威胁

–有必要研究恶意代码反检测技术，探索反制措施，抑制其传

播，降低威胁和损失

7

恶意软件动态分析中的反检测技术及对抗

基本概念

基本概念

•环境感知恶意代码

–当恶意程序检测到运行在沙箱或者虚拟机环境，就会改变执

行路径或者停止执行，用来逃避沙箱分析，这一类的恶意代

码称为环境感知恶意代码

–Environmentsensitivemalwares

–Evasivemalwares

–Context-AwareMalicious

9

基本概念

•恶意代码静态分析

–静