動態(tài)數(shù)據(jù)流分析技術在惡意軟件分析中的應用研究.pdf

1、惡意軟件是攻擊者破壞或者竊取目標系統(tǒng)信息的一種黑客工具，對信息系統(tǒng)的安全構成了極大的威脅。對惡意軟件分析技術的研究可用于網(wǎng)絡邊界防護、信息系統(tǒng)安全防護以及研究針對性的溯源技術?，F(xiàn)階段使用的主要分析技術，是采用靜態(tài)反匯編分析以及以調(diào)試技術為主的動態(tài)分析，依賴人工分析，效率較低。此外，采用掛鉤系統(tǒng)函數(shù)方式實現(xiàn)的沙箱分析技術也是一種常用的惡意軟件分析的方法，但得到的多是一些諸如網(wǎng)絡通信端口以及API調(diào)用等離散的信息，難以清晰描述程序執(zhí)行中的數(shù)

2、據(jù)處理過程。隨著大量新的惡意軟件不斷出現(xiàn)，需要更有針對性的技術以提高分析效率。
　　本文針對現(xiàn)有惡意軟件分析技術方法存在的主要問題，引入了動態(tài)二進制插樁技術和動態(tài)污點傳播分析技術。惡意軟件的行為很多是圍繞數(shù)據(jù)進行的，針對數(shù)據(jù)在程序中處理過程的分析十分重要。動態(tài)二進制插樁分析方法具有方便編程自定義分析程序動態(tài)運行過程的特點，在二進制程序執(zhí)行流程的監(jiān)視和分析以及二進制程序中數(shù)據(jù)流的分析方面可以減少人工分析工作量;基于動態(tài)二進制插樁技術

3、的動態(tài)污點傳播分析也可以與API監(jiān)視結合，通過定義分析過程實現(xiàn)數(shù)據(jù)流監(jiān)視的自動化。
　　本文深入分析了特洛伊木馬的加殼保護機制以及協(xié)議處理機制，設計和實現(xiàn)了針對軟件保護的原始入口點判斷程序和基于Pin動態(tài)二進制插樁框架的二進制污點傳播分析程序，驗證了針對特洛伊木馬協(xié)議通過數(shù)據(jù)流處理過程澄清其協(xié)議格式的分析方法的有效性。通過分析軟件惡意后門行為并進行模型描述，設計和實現(xiàn)了一個利用污點傳播技術實現(xiàn)軟件運行時敏感流監(jiān)視的軟件后門行為分析