基于虛擬機(jī)的通用自動(dòng)化脫殼系統(tǒng).pdf

1、隨著信息技術(shù)的深入發(fā)展,軟件作為智力和知識(shí)的結(jié)晶,其核心技術(shù)的保護(hù)顯得日益重要。另一方面,層出不窮的惡意代碼為延長(zhǎng)其生命周期,也不斷在尋求可以制造變種以避免被基于特征碼掃描的殺毒軟件所查殺的方法。
　　 軟件殼是一種保護(hù)第三方軟件不被逆向分析而且不影響其運(yùn)行功能的程序。它完全基于目標(biāo)程序的二進(jìn)制碼,與被保護(hù)的程序的邏輯相分離。因其穩(wěn)定性強(qiáng),且具有壓縮功能等特性,軟件殼在惡意代碼免殺領(lǐng)域應(yīng)用范圍非常廣。一種惡意代碼通過(guò)加殼往往可以

2、制造出幾十甚至上百個(gè)變種,安全廠商發(fā)布的報(bào)告顯示現(xiàn)行惡意代碼的加殼率高達(dá)95％以上。
　　 面對(duì)由于加殼而產(chǎn)生的海量變種,除被動(dòng)地增加病毒庫(kù)特征碼以外,國(guó)內(nèi)外對(duì)脫殼方法也展開了研究?，F(xiàn)有的脫殼方法往往只能針對(duì)某類殼,通用性差,難以收集,而且通常需要大量的人工分析才能得出正確的結(jié)果,自動(dòng)化程度低。一個(gè)自動(dòng)化的通用的脫殼機(jī)一方面可以減輕安全分析人員的勞動(dòng)強(qiáng)度,另一方面也可以部署到用戶端系統(tǒng),以提高惡意代碼的查殺率。
　　 本

3、文設(shè)計(jì)了一個(gè)基于緩沖代碼虛擬機(jī)的自動(dòng)化通用脫殼系統(tǒng)。該課題首先對(duì)軟件加殼技術(shù)做全面的研究和透徹的分析,從中抽象出軟件殼的共性,據(jù)此提出解決相應(yīng)問(wèn)題的原則方法。其次,根據(jù)分析惡意代碼需要安全執(zhí)行環(huán)境、脫殼提出的可控以及仿真程度高以對(duì)抗反調(diào)試等特殊需求,引入了一種輕量級(jí)的指令級(jí)緩沖代碼虛擬機(jī)。第三,根據(jù)所提煉出的脫殼所面臨的阻礙,提出相應(yīng)的解決方案,并討論了其技術(shù)細(xì)節(jié)。實(shí)驗(yàn)表明,該方案獨(dú)立于目標(biāo)程序邏輯,對(duì)未知脫殼效果良好,不需要人工干預(yù)。

4、
　　 本文的主要貢獻(xiàn)和創(chuàng)新點(diǎn)在于如下工作:①將軟件殼的行為抽象成:通過(guò)代碼混淆變換對(duì)抗靜態(tài)分析;通過(guò)PE結(jié)構(gòu)變換對(duì)抗動(dòng)態(tài)分析以及反調(diào)試三大類,為脫殼方案的設(shè)計(jì)提供依據(jù);②提出了通用自動(dòng)化的脫殼方法。該方法基于虛擬機(jī)技術(shù)控制目標(biāo)執(zhí)行,通過(guò)編譯器入口特征查找規(guī)則,跨段跳檢測(cè)查找規(guī)則,堆棧平衡規(guī)則及虛擬機(jī)掃描等方法來(lái)尋找目標(biāo)在內(nèi)存中自行解密的狀態(tài)。相比其他的方法,該方案更具通用性,對(duì)未知?dú)っ摎ばЧ己?③特別地,首次提出了經(jīng)定位、讀