自修改代碼逆向分析方法研究.pdf

1、惡意代碼(Malicious code，Malware)已成為互聯(lián)網(wǎng)安全的主要威脅。隨著計算機的普及和互聯(lián)網(wǎng)的發(fā)展，惡意代碼造成的危害也越來越嚴重。為了提高對惡意代碼造成的網(wǎng)絡攻擊的應急響應速度，我們必須對惡意代碼做出快速有效的分析。惡意代碼分析的目的是提取惡意代碼執(zhí)行時表現(xiàn)出的行為(runtime behavior)、解析其意圖及其實現(xiàn)機理，為惡意代碼的檢測和清除提供參考。而惡意代碼作者為了對惡意代碼進行保護，加大惡意代碼分析的難度，

2、往往通過加密、變形和加殼等多種技術(shù)手段隱藏自身代碼特征，阻礙惡意代碼機理分析和特征提取，躲避惡意代碼檢測。傳統(tǒng)分析方法難以有效解決針對受保護的惡意代碼的分析問題。 針對惡意代碼分析與軟件安全測評等業(yè)務的需要，本文重點分析了典型惡意代碼軟件保護關鍵技術(shù)以及惡意代碼分析技術(shù)的最新進展，深入研究了典型自修改代碼(Self-Modifying Code，SMC)的實現(xiàn)機理，在此基礎上，針對典型SMC提出了一種基于硬件模擬器的逆向分析方法

3、，取得以下幾個方面的研究成果： (1)深入分析了典型SMC的實現(xiàn)機理，并初步建立了SMC模型。我們根據(jù)動態(tài)生成代碼①的生成方式、修改模式以及存儲模式等因素，首次對SMC作了初步的分類和建模，為后續(xù)的SMC分析方法奠定了基礎。 (2)提出了一種基于硬件模擬器的可執(zhí)行文件中動態(tài)生成代碼的識別與提取方法。本方法通過在模擬器中單步執(zhí)行目標可執(zhí)行文件，并通過截獲虛擬系統(tǒng)執(zhí)行指令，使用影子內(nèi)存監(jiān)控程序執(zhí)行過程中的內(nèi)存寫操作以及控制轉(zhuǎn)

4、移指令等信息，識別提取程序執(zhí)行過程中動態(tài)釋放到內(nèi)存中并得到執(zhí)行的代碼，獲取分析目標的數(shù)據(jù)信息。由于在硬件模擬器中對可執(zhí)行文件進行動態(tài)分析，數(shù)據(jù)采集是通過模擬硬件實現(xiàn)，而不是將惡意代碼放在真實的CPU上執(zhí)行，因此對實際系統(tǒng)不造成任何影響。 (3)提出了一種基于硬件模擬器的動態(tài)鏈接庫中動態(tài)生成代碼的識別與提取方法。本方法在模擬器中使用動態(tài)鏈接庫加載程序引導加載動態(tài)鏈接庫，設置單步執(zhí)行標志，僅使目標動態(tài)鏈接庫文件中的指令在模擬器中單步

5、執(zhí)行，通過觸發(fā)動態(tài)鏈接庫中入口點等函數(shù)的執(zhí)行，并通過截獲虛擬系統(tǒng)執(zhí)行指令，使用影子內(nèi)存監(jiān)控動態(tài)鏈接庫中代碼執(zhí)行過程中的內(nèi)存寫操作以及控制轉(zhuǎn)移指令等信息，識別提取其執(zhí)行過程中動態(tài)釋放到內(nèi)存中并得到執(zhí)行的代碼，獲取分析目標的數(shù)據(jù)信息。 (4)提出一種基于二進制文件重構(gòu)的自修改代碼分析方法。我們針對不同類型的SMC提出了相應的重構(gòu)方法，即在不改變其代碼行為的前提下將提取的動態(tài)生成代碼恢復到原二進制文件中，生成完整的、可直接靜態(tài)分析或運

6、行的二進制文件。以此為基礎，分析人員可利用傳統(tǒng)分析方法對其進一步分析，提高了針對SMC的逆向分析能力。本方法原理簡單，易實現(xiàn)，且具有較好的通用性，不僅適用于可執(zhí)行文件，而且適用于動態(tài)鏈接庫。 (5)提出了一種基于代碼覆蓋的多路徑分析方法?；诖a覆蓋的多路徑分析方法重點解決了對循環(huán)代碼的處理問題，通過標識判斷條件節(jié)點，減少局部路徑被重復遍歷的次數(shù)，在保證分析效果的同時，提高分析系統(tǒng)的分析效率以及代碼覆蓋率。 (6)設計實