基于行为信息的恶意代码抗分析技术检测系统设计与实现

摘要

近年来,恶意代码动态分析技术取得长足进步,已成为恶意代码检测领域里一种主要的分析和检测技术.但恶意代码作者采用了抗虚拟机、抗调试器等多种抗分析技术对抗动态分析技术,使得动态分析技术无法准确获取恶意代码真正的行为信息,甚至会将恶意样本判定为正常程序.设计并实现了一个基于行为信息的恶意代码抗分析技术检测系统,该系统基于动态二进制插桩平台DynamoRIO获取样本运行中产生的系统调用和API调用等信息,并将这些信息抽取为更粗粒度的行为信息,同抗分析行为库进行比较和判断.实验表明,该系统能有效地检测出恶意代码是否使用了抗分析技术.