针对恶意代码的连续内存镜像分析技术研究

摘要

如何有效地检测恶意代码的行为并根据其行为找出抵御恶意代码的方法一直是信息安全领域研究的一个重点。传统的静态和动态的恶意代码检测方法都存在检测粒度较粗等缺点，为了更加全面的检测恶意代码的行为，提出连续内存镜像分析技术并将其运用于恶意代码的分析中。
　　设计了一种方法，在QEMU虚拟机沙箱中运行恶意代码样本，并连续获取样本运行一段时间内的虚拟机内存镜像，然后按照获取时的逻辑，将所获取的基础和增量虚拟机内存镜像解析为各个时期完整的内存镜像。在单个内存镜像分析的基础上，对不同时刻内存镜像做对比分析，从而获取在恶意代码生命周期中关键内核对象诸如进程、注册表、服务、网络连接等的变化，从而获取系统状态的改变，提取出恶意代码的行为及其对系统的影响。同时设计了一个针对内存数据的可视化，运用可视化工具D3.js，以图形化的形式动态地展示恶意代码生命周期中系统内存状态的改变，直观、有效地展示连续内存镜像分析的结果。
　　实现了原型系统，并对典型样本Sentry_MBA在内的40种恶意代码样本进行了实验。将结果与国内知名恶意代码分析引擎“文件 B超”进行对比，显示连续内存镜像分析技术可以准确地检测到恶意代码在进程、代码注入、注册表、网络连接等方面的可疑行为，表明提出的连续内存镜像分析方法的有效性。另外将连续内存镜像分析的结果与传统单内存镜像分析的结果进行了对比。在对40种样本检测结果中，检测出的恶意代码行为数量在传统单镜像内存分析的基础上增加了37％，提高了内存镜像分析方法的准确性。

目录

封面

声明

中文摘要

英文摘要

目录

1 绪论

1.1研究背景

1. 2 国内外研究现状

1. 3 研究工作的意义

1. 4 主要研究内容

1. 5 论文组织结构

2针对恶意代码的连续内存镜像分析原理和设计

2. 1系统整体架构

2. 2连续内存镜像获取和分析方法的原理

2. 3连续内存镜像获取模块的设计

2. 4 连续内存镜像对比分析模块设计

2. 5内存可视化模块的设计

2. 6本章小结

3连续内存镜像分析技术方法实现

3. 1 连续内存镜像获取模块

3. 2将初始及增量内存镜像解析为完整内存镜像

3. 3 连续内存镜像对比分析模块

3. 4 利用D3. js内存可视化模块

3. 5 本章小结

4 实验测试与分析

4. 1样本及测试环境

4. 2典型样本测试

4. 3分析结果与文件B超对比

4. 4 连续内存镜像与单内存镜像分析对比

4. 5本章小结

5 总结与展望

5. 1 总结

5. 2 展望

致谢

参考文献