基于程序語(yǔ)義的靜態(tài)惡意代碼檢測(cè)系統(tǒng)的研究與實(shí)現(xiàn).pdf

1、惡意代碼不再僅是用來(lái)炫耀技術(shù)而是成為不法分子牟取不正當(dāng)利益的工具?；谔卣髌ヅ涞姆椒ê雎粤顺绦蛐袨閷?dǎo)致特征沒(méi)有泛化性，一個(gè)特征只能檢測(cè)一種變種，而動(dòng)態(tài)檢測(cè)的死穴在于可觀行為局限在一個(gè)有限的時(shí)間段或程序分支中，而將來(lái)的或其他分支的行為是不可預(yù)期的。因此上述方法在面對(duì)暴利刺激下層出不窮的惡意代碼變種時(shí)顯得力不從心。
　　程序語(yǔ)義提供了程序行為的形式化模型，意味著從語(yǔ)義角度可以檢查可疑代碼所有的執(zhí)行路徑，并能展現(xiàn)在語(yǔ)法層次上被故意隱藏的

2、不同變種間的相似性。但理論上靜態(tài)分析程序完整語(yǔ)義是不可判定和不可計(jì)算的，本文通過(guò)系統(tǒng)函數(shù)調(diào)用觀察程序行為，經(jīng)過(guò)兩次抽象在兩個(gè)不同的近似語(yǔ)義層次上將模型檢測(cè)惡意行為和基于面向目標(biāo)的關(guān)聯(lián)度（Objective-Oriented Association,OOA）挖掘惡意代碼檢測(cè)統(tǒng)一在程序語(yǔ)義這一共同框架之下。
　　模型檢測(cè)惡意行為實(shí)質(zhì)是檢測(cè)可疑程序所有可能的執(zhí)行路徑中是否存在一條實(shí)現(xiàn)特定惡意行為的路徑（惡意行為模板）。參考方法由于沒(méi)有引

3、入數(shù)據(jù)流分析，使得惡意行為模板及其繁雜。本文首先反匯編可疑程序并引入控制流和數(shù)據(jù)流分析構(gòu)造語(yǔ)義模型，同時(shí)惡意行為被統(tǒng)一抽象為有限狀態(tài)機(jī)的形式，并最終轉(zhuǎn)化成對(duì)應(yīng)的計(jì)算樹(shù)邏輯（Computation Tree Logic,CTL）公式，最后由標(biāo)記算法完成驗(yàn)證工作。實(shí)驗(yàn)證明由于數(shù)據(jù)流分析的引入本文方法可極大地簡(jiǎn)化惡意行為的描述。
　　基于OOA挖掘的方法檢測(cè)可疑程序調(diào)用的API集合是否存在特定的子集（規(guī)則）。本文利用IDA Pro插件提

4、取可執(zhí)行文件所調(diào)用的API集合，采用快速的OOApriori算法挖掘滿(mǎn)足特定目標(biāo)的規(guī)則，并由此規(guī)則分類(lèi)。通過(guò)改進(jìn)規(guī)則挖掘策略、強(qiáng)化規(guī)則選擇條件、引入多規(guī)則積累和多分類(lèi)器仲裁機(jī)制等措施在顯著減少原OOApriori挖掘時(shí)間的同時(shí)提高了所挖掘規(guī)則的質(zhì)量而且有效解決了參考方法的樣本敏感性問(wèn)題。
　　針對(duì)上述兩種方法對(duì)于加殼和API隱藏技術(shù)的局限性，本文基于程序語(yǔ)義的靜態(tài)惡意代碼檢測(cè)系統(tǒng)引入啟發(fā)式檢測(cè)作為有力補(bǔ)充，最終該系統(tǒng)能自動(dòng)脫殼加殼