基于动态KVM加速的数据流跟踪研究
发布时间:2021-02-16 08:02
恶意程序分析是防范恶意软件攻击的重要步骤,动态二进制分析作为一种最常见的程序分析技术,通常需要依赖于程序的运行时信息,而程序的数据流就包括了程序运行时众多的有用信息。现有的数据流跟踪系统中,分析者通常将恶意软件置于软件模拟器下运行,使用插桩的方式分析全系统,但整体的开销非常大,效率非常低,分析的透明性难以得到保障。针对这些问题,提出了一种高效的进程级数据流跟踪方法。首先,结合开源模拟器QEMU用户态TCG(Tiny Code Generator)执行引擎效率低但易于插桩分析和内核态KVM不易于控制但执行效率高的特点,引入了一种动态KVM/TCG执行引擎切换系统,将恶意软件镜像置于TCG引擎下执行,系统其余部分置于KVM引擎下执行,充分发挥两种引擎的优势。其次,实现了恶意软件在TCG执行时将客户机指令转换成LLVM中间语言,并基于该中间语言进行指令级插桩传播污点。当恶意程序进行部分外部API调用时,停止指令级插桩传播,设计补丁使用API参数和语义分析的方式进行函数级污点传播,这样就能在损失少量污点跟踪信息的情况下,极大地降低污点跟踪的开销。然后,针对LLVM中间语言执行效率低的特点,设计...
【文章来源】:华中科技大学湖北省 211工程院校 985工程院校 教育部直属院校
【文章页数】:55 页
【学位级别】:硕士
【文章目录】:
摘要
Abstract
1 绪论
1.1 研究背景与意义
1.2 国内外研究现状
1.3 相关技术概述
1.4 本文主要研究内容
1.5 论文组织结构
2 数据流跟踪系统的设计
2.1 总体设计
2.2 动态KVM/TCG切换设计
2.3 污点数据结构的设计
2.4 LLVM IR插桩和指令级污点传播
2.5 函数级污点传播
2.6 本章小结
3 数据流跟踪系统的实现
3.1 动态Qemu/KVM切换实现
3.2 污点插桩实现
3.3 本章小结
4 数据流跟踪测试和实验结果分析
4.1 开发工具及运行环境
4.2 对比实验和结果
4.3 实验分析
4.4 本章小结
5 总结与展望
5.1 总结
5.2 展望
致谢
参考文献
【参考文献】:
期刊论文
[1]二进制程序动态污点分析技术研究综述[J]. 宋铮,王永剑,金波,林九川. 信息网络安全. 2016(03)
[2]基于类型的动态污点分析技术[J]. 诸葛建伟,陈力波,田繁,鲍由之,陆恂. 清华大学学报(自然科学版). 2012(10)
[3]基于动态污点分析的恶意代码通信协议逆向分析方法[J]. 刘豫,王明华,苏璞睿,冯登国. 电子学报. 2012(04)
硕士论文
[1]基于动态污点分析的恶意代码行为依赖图挖掘技术的研究与实现[D]. 尤作赛.国防科学技术大学 2012
[2]基于动态污点分析的网络程序漏洞挖掘方法[D]. 吴小伟.华中科技大学 2012
本文编号:3036465
【文章来源】:华中科技大学湖北省 211工程院校 985工程院校 教育部直属院校
【文章页数】:55 页
【学位级别】:硕士
【文章目录】:
摘要
Abstract
1 绪论
1.1 研究背景与意义
1.2 国内外研究现状
1.3 相关技术概述
1.4 本文主要研究内容
1.5 论文组织结构
2 数据流跟踪系统的设计
2.1 总体设计
2.2 动态KVM/TCG切换设计
2.3 污点数据结构的设计
2.4 LLVM IR插桩和指令级污点传播
2.5 函数级污点传播
2.6 本章小结
3 数据流跟踪系统的实现
3.1 动态Qemu/KVM切换实现
3.2 污点插桩实现
3.3 本章小结
4 数据流跟踪测试和实验结果分析
4.1 开发工具及运行环境
4.2 对比实验和结果
4.3 实验分析
4.4 本章小结
5 总结与展望
5.1 总结
5.2 展望
致谢
参考文献
【参考文献】:
期刊论文
[1]二进制程序动态污点分析技术研究综述[J]. 宋铮,王永剑,金波,林九川. 信息网络安全. 2016(03)
[2]基于类型的动态污点分析技术[J]. 诸葛建伟,陈力波,田繁,鲍由之,陆恂. 清华大学学报(自然科学版). 2012(10)
[3]基于动态污点分析的恶意代码通信协议逆向分析方法[J]. 刘豫,王明华,苏璞睿,冯登国. 电子学报. 2012(04)
硕士论文
[1]基于动态污点分析的恶意代码行为依赖图挖掘技术的研究与实现[D]. 尤作赛.国防科学技术大学 2012
[2]基于动态污点分析的网络程序漏洞挖掘方法[D]. 吴小伟.华中科技大学 2012
本文编号:3036465
本文链接:https://www.wllwen.com/kejilunwen/ruanjiangongchenglunwen/3036465.html
