基于操作虚拟化及时序逻辑的恶意代码分析

发布时间：2024-11-02 14:44

　　恶意代码通过多种传播手段,感染文档文件,破坏系统和网络的正常运行,严重威胁系统及信息安全,窃取个人隐私及商业秘密,甚至通过非法手段获取经济利益和军事机密。因此,恶意代码攻击成为目前倍受关注的安全问题,为了实现对恶意代码的识别与预防,为受害系统提供及时的损失评估及信息恢复,基于行为的恶意代码分析技术成为目前恶意代码分析工作的研究热点,而如何提高恶意代码分析工作的效率及行为分析的准确性是工作的重点,具有重要的现实意义。 基于行为的恶意代码分析方法通常采用虚拟机或仿真系统作为恶意代码的执行环境,通过监控恶意代码运行时调用的系统API函数进行恶意代码的行为分析及恶意性的判定,并通过系统快照对执行环境进行状态回滚,为下一次分析提供一个“干净”的系统环境。然而,虚拟机或仿真系统所提供的执行环境易被某些恶意代码检测出来,从而使分析工作无法正常完成。并且,基于系统快照的回滚方式较为耗时,影响分析工作的效率。在基于API调用序列的恶意代码行为分析方面,现有的方法只考虑了对恶意代码操作之间的单一的前后调用关系的描述,而恶意代码在实际操作中存在多种相关关系,如时序关系、主客体关系等,若不能完整地描述这些操...

【文章页数】：69 页

【学位级别】：硕士

【部分图文】：

222040608000文文件规模模图3一6分析不同数量恶意文件的时间统计~~~呻-.VM一andbox~蛋砂OV_Mo八....

222040608000文文件规模模图3一6分析不同数量恶意文件的时间统计~~~呻-.VM一andbox~蛋砂OV_Mo八....

系统的分析检测以任务为单元。在新建一个分析任务时，可以指定需要分析的目标文件所在的目录，任务分派器会自动到该目录获取分析文件，也可以手动添加要分析的目标文件，任务分派器同样会去相应的目录获取文件。图5并给出了新建任务时的界面。一一…辞宁宁宁宁宁....

台淤画}习如}盛昌油岁一谁分一份一一一合一份一片二份纱声舟裂图5一30VMAS系统总界面系统的分析检测以任务为单元。在新建一个分析任务时，可以指定需要分析的目标文件所在的目录，任务分派器会自动到该目录获取分析文件，也可以手动添加要分析的目标文件，任务分派器同样会去相应的目录获取....

本文编号：4009672