惡意代碼內存鏡像分析方法研究.pdf

1、隨著網(wǎng)絡技術的不斷發(fā)展，利用惡意軟件實施和隱藏犯罪的現(xiàn)象也日益普遍。內存鏡像分析技術通過分析獲取到的受影響機器的易失性內存，提取目標系統(tǒng)當前時刻的狀態(tài)信息，找出與惡意軟件行為相關的信息。目前內存鏡像分析方法主要是利用Windows系統(tǒng)運行時尋找對象的方法，結合鏈表遍歷來實現(xiàn)對對象的檢索，而且目前很多都是基于特定對象進行分析，不能將內存鏡像中的其他對象聯(lián)系起來。
　　針對目前這些方法的缺陷，研究了惡意代碼行為內存鏡像分析方法。對內存

2、對象進行了定位和提取，設計了針對內存對象定位的池標簽掃描方法，該方法以操作系統(tǒng)內存池中對象結構體的特定標簽作為識別對象的標志，能夠有效的識別操作系統(tǒng)的進程、網(wǎng)絡、注冊表、驅動、服務等各種系統(tǒng)對象，以及互相之間的關系。并且能夠發(fā)現(xiàn)惡意代碼采用Rootkit手段隱藏的各種系統(tǒng)對象。在此基礎上，結合內存對象本身的權限、屬性、內容；不同內存對象之間的從屬關系、數(shù)量聯(lián)系對惡意代碼行為進行多角度的檢測，提出了惡意代碼行為內存鏡像對象分析方法。最后，

3、通過多內存鏡像對比方法發(fā)現(xiàn)不同內存鏡像的對象屬性之間的區(qū)別，進一步對惡意代碼行為進行了補充和驗證。
　　最后實現(xiàn)了原型系統(tǒng)，并對Stuxnet樣本進行測試以及對44種惡意代碼樣本進行實驗。將實驗結果與國內知名惡意代碼分析引擎“文件B超”進行對比，顯示內存鏡像分析可以準確地檢測到惡意代碼在進程、Hook、DLL、代碼注入、注冊表等方面的可疑行為，表明提出的內存鏡像分析方法的有效性。在此基礎上利用多內存鏡像對比分析方法對Hydraq樣