基于程序語義的靜態(tài)惡意代碼檢測系統(tǒng)的研究與實現(xiàn).pdf

1、惡意代碼不再僅是用來炫耀技術(shù)而是成為不法分子牟取不正當(dāng)利益的工具。基于特征匹配的方法忽略了程序行為導(dǎo)致特征沒有泛化性，一個特征只能檢測一種變種，而動態(tài)檢測的死穴在于可觀行為局限在一個有限的時間段或程序分支中，而將來的或其他分支的行為是不可預(yù)期的。因此上述方法在面對暴利刺激下層出不窮的惡意代碼變種時顯得力不從心。
　　程序語義提供了程序行為的形式化模型，意味著從語義角度可以檢查可疑代碼所有的執(zhí)行路徑，并能展現(xiàn)在語法層次上被故意隱藏的

2、不同變種間的相似性。但理論上靜態(tài)分析程序完整語義是不可判定和不可計算的，本文通過系統(tǒng)函數(shù)調(diào)用觀察程序行為，經(jīng)過兩次抽象在兩個不同的近似語義層次上將模型檢測惡意行為和基于面向目標(biāo)的關(guān)聯(lián)度（Objective-Oriented Association,OOA）挖掘惡意代碼檢測統(tǒng)一在程序語義這一共同框架之下。
　　模型檢測惡意行為實質(zhì)是檢測可疑程序所有可能的執(zhí)行路徑中是否存在一條實現(xiàn)特定惡意行為的路徑（惡意行為模板）。參考方法由于沒有引

3、入數(shù)據(jù)流分析，使得惡意行為模板及其繁雜。本文首先反匯編可疑程序并引入控制流和數(shù)據(jù)流分析構(gòu)造語義模型，同時惡意行為被統(tǒng)一抽象為有限狀態(tài)機的形式，并最終轉(zhuǎn)化成對應(yīng)的計算樹邏輯（Computation Tree Logic,CTL）公式，最后由標(biāo)記算法完成驗證工作。實驗證明由于數(shù)據(jù)流分析的引入本文方法可極大地簡化惡意行為的描述。
　　基于OOA挖掘的方法檢測可疑程序調(diào)用的API集合是否存在特定的子集（規(guī)則）。本文利用IDA Pro插件提

4、取可執(zhí)行文件所調(diào)用的API集合，采用快速的OOApriori算法挖掘滿足特定目標(biāo)的規(guī)則，并由此規(guī)則分類。通過改進(jìn)規(guī)則挖掘策略、強化規(guī)則選擇條件、引入多規(guī)則積累和多分類器仲裁機制等措施在顯著減少原OOApriori挖掘時間的同時提高了所挖掘規(guī)則的質(zhì)量而且有效解決了參考方法的樣本敏感性問題。
　　針對上述兩種方法對于加殼和API隱藏技術(shù)的局限性，本文基于程序語義的靜態(tài)惡意代碼檢測系統(tǒng)引入啟發(fā)式檢測作為有力補充，最終該系統(tǒng)能自動脫殼加殼