恶意代码自动脱壳技术研究.pdf

恶意代码自动脱壳技术研究.pdf

ID:57923531

大小:357.42 KB

页数:5页

时间:2020-04-12

恶意代码自动脱壳技术研究.pdf_第1页
恶意代码自动脱壳技术研究.pdf_第2页
恶意代码自动脱壳技术研究.pdf_第3页
恶意代码自动脱壳技术研究.pdf_第4页
恶意代码自动脱壳技术研究.pdf_第5页
资源描述:

《恶意代码自动脱壳技术研究.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、2014年第05期IIdoi:103969/jissn1671-1122201405009恶意代码自动脱壳技术研究彭小详,户振江,龚涛,舒辉(解放军信息工程大学网络空间安全学院,河南郑州450000)摘要:恶意程序普遍使用一些高级的软件保护技术躲避检测工具等的查杀,而复杂的程序加壳技术就是其中的典型代表,必须对其进行脱壳操作才能进行彻底的分析。文章以对壳程序特征的分析为基础,提取样本程序的外壳特征,自动提取加壳程序隐藏的代码和数据,并提出了基于动态分析平台的自动脱壳系统的设计方案。实验结果表明,该系统可以有效处理常见的外壳程序

2、类型,一方面提高了脱壳技术的自动化程度,另一方面大大增强了脱壳技术的通用性。关键词:脱壳;动态二进制分析;Pintools中图分类号:TP309文献标识码:A文章编号:1671—1122(2014)05—0041—05ResearchofMaliciousCodeinAutomaticUnpackingPENGXiao—xiang,HUZhen-jiang,G0NGTao,SHUHUi(InstituleofCyberapaceSecuri.ThePLAInformationEngineeringUniversity,Zhen

3、gzhouHenan450000,China)Abstract:Malwareoftenusesomeadvancedsoftwareprotectiontechniquestoevadedetection,andthecomplexpackingtechniquesisoneofthetypical,youmustunpackthemalwarefirst,thenyouCananalysisthemindetail.Thispaperstudiedbasedonanalysisofsampleprogrampackedch

4、aracteristics,automaticallyextractedhiddencodeanddatafrompackers,andproposetheautomaticunpackingsystemdesignbasedonthedynamicanalysisplatform.Thetestresultsshowthatthissystemcandealwithcommonpackedtype,ononehanditimprovethedegreeofautomationtechniques,ontheotherhand

5、greatlyenhancestheversatilityofunpackingtechnology.Keywords:unpacking;dynamicbinaryanalysis;Pintools0引言近年来,恶意程序(如病毒、木马、蠕虫等)普遍使用一些高级的软件保护技术躲避检测工具(如防病毒软件)的扫描和查杀,复杂的程序加壳技术就是其中的典型代表,据统计,目前经过加壳的恶意代码所占的比例已经超过了80%,恶意代码的这种发展趋势为检测工具带来了巨大的挑战。因此如何还原程序内容,获得程序的执行行为是恶意代码检测技术研究的重点

6、。目前的脱壳分析方式主要有两种:一种是使用手工脱壳;另一种是使用专用脱壳机进行定向脱壳。这两种方式都存在明显的缺陷,如缺乏通用性、难以跟上加壳技术的进步和加壳实例的开发速度、需要耗费大量的人力和物力等。文献[1】中曾勇军、朱俊虎等人给出了存储器监控算法和动态基本块标记算法,描述了基于QEMU仿真器的程序自动脱壳数据采集系统的设计思路,有效地提取被加壳程序的代码和数据,完整地记录程序脱壳的执行行为;文献[2】中张中华、苏志同介绍了软件保护及用加壳的方式进行软件保护,详细的分析了加花指令、SEH技术及IAT加密三种加壳保护手段,并

7、给出了相关的原理介绍和主要的实现过程;文献[3]中李露、刘秋菊等人分析了PE文件结构及其加壳原理,阐述了脱壳的一般步骤,从压缩壳和加密壳的角度重点探讨了脱壳技术的原理和方法。为了实现脱壳技术的自动化、通用性,同时保证脱壳的准确性和完整性J,本文提出了基于动态分析平台的自动脱壳系统的设计方案,通过使用动态分析平台动态插桩、解释执行的特点,跟踪记录程序运行流程,捕获指令的状态信息,通过动态分析与静态检测,完成自动化脱壳工作。测●收稿日期:2013—08—20作者简介:彭小详(1991-),男,湖南,硕士研究生,主要研究方向:信息安

8、全、软件漏洞分析;户振江(1994一),男,河南,本科,主要研究方向:信息安全、网络通信;龚涛(1992一),男,浙江,本科,主要研究方向:信息研究;舒辉(1974一),男,江苏,副教授,博士,主要研究方向:信g-~c~。2o14年第O5期\试结果表明,该系统可以实现对常见加

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。