基于Qemu的惡意程序行為捕獲軟件研究與實現(xiàn).pdf

1、以高級持續(xù)威脅(Advanced Persistent Threat,APT)為代表的新型惡意程序突破了傳統(tǒng)安全解決方案,給國家、社會、企業(yè)、個人的安全造成了極大的危害。用行為分析方法來檢測、識別APT和未知惡意程序是行之有效的方法。API在程序行為刻畫中具有重要的作用,很多研究專注于如何由 API調(diào)用序列建立更好的軟件模型,而對API捕獲方法的研究相對較少。這種現(xiàn)狀并非說明API捕獲不重要,相反,API序列是軟件行為刻畫的重要基礎(chǔ)。目

2、前API捕獲多采用基于HOOK的動態(tài)分析方法,該方法會破壞操作系統(tǒng)的完整性或惡意程序的完整性,會被軟件或者惡意程序用完整性檢驗方法檢測出來。
　　本文在深入理解Qemu原理的基礎(chǔ)上,給出了一種在模擬器內(nèi)部實現(xiàn)API捕獲的方法,并基于該方法實現(xiàn)了一個API捕獲軟件。該軟件在模擬器內(nèi)部收集樣本運行時數(shù)據(jù),并通過語義重構(gòu)技術(shù)消除了模擬器內(nèi)部數(shù)據(jù)和操作系統(tǒng)層之間的語義鴻溝。具體的語義鴻溝有進程的識別、線程的識別、API的識別和 API參數(shù)

3、的獲取等。消除這些語義鴻溝是通過在 Qemu的指令翻譯部分嵌入監(jiān)控代碼實現(xiàn)的。另外結(jié)合惡意程序的行為特點,引入多進程邏輯、進程注入邏輯、多線程邏輯、釋放文件收集邏輯、后續(xù)行為邏輯、通信邏輯和配置化等方法實現(xiàn)樣本行為的全面捕獲。
　　通過大量的系統(tǒng)驗證實驗表明,該軟件可以以線程為單位,捕獲樣本主進程,子進程和樣本運行過程中被注入進程的行為。另外它還可以對服務(wù)、自啟動和釋放文件等進行后續(xù)分析,有效地在惡意程序沒有發(fā)覺的前提下,實現(xiàn)了惡