恶意代码检测与分析

恶意代码分析与检测

主讲人：葛宝玉

主要内容

背景及现状

1

分析与检测的方法

2

分析与检测常用工具

3

分析与检测发展方向

4

背景及现状

互联网的开放性给人们带来了便利，也加快了恶意代码的传播，特别是人们可以直接从网站获得恶意代码源码或通过网络交流代码。很多编程爱好者把自己编写的恶意代码放在网上公开讨论，发布自己的研究成果，直接推动了恶意代码编写技术发展。所以目前网络上流行的恶意代码及其变种层出不穷，攻击特点多样化。

分析与检测方法

恶意代码分析方法

静态分析方法

是指在不执行二进制动态分析方法

是指恶意代码执行的情况下利用程序调程序的条件下进行分析，如反汇编分析，源代码分析，二进制统计分析，反编译等，情况下，利用程序调试工具对恶意代码实施跟踪和观察，确定恶意代码的工作过程对静态分析结果进属于逆向工程分析方法。

，对静态分析结果进行验证。

静态分析方法

静态反汇编静态源代码反编译分析分析

分析

在拥有二进制程是指分析人员借是指经过优化的序的源代码的前提下，通过分析源代码来理解程序的功能、流程、助调试器来对恶意代码样本进行反汇编，从反汇编出来的程序机器代码恢复到源代码形式，再对源代码进行程序执行流程的分析逻辑判定以及程序的企图等。

清单上根据汇编指令码和提示信息着手分析。

流程的分析。

动态分析方法

系统调用行为分析方法

常被应用于异常检测之中，是指对程序的正常行为分析常被应用于异常检测之中是指对程序的

正常行为轮廓进行分析和表示，为程序建立一个安全行

为库，当被监测程序的实际行为与其安全行为库中的正

常行为不一致或存在一定差异时，即认为该程序中有一

个异常行为，存在潜在的恶意性。

恶意行为分析则常被误用检测所采用，是通过对恶意程

则常被误用检测所采用是通过对恶意程

序的危害行为或攻击行为进行分析，从中抽取程序的恶

意行为特征，以此来表示程序的恶意性。

动态分析方法

启发式扫描技术

启发式扫描技术是为了弥补被广泛应用的特征码扫面技术的局限性而提出来的。其中，启发式是指“自我发现能力或运用某种方式

或方法去判定事物的知识和技能”。

分析与检测方法

恶意代码检测方法

基于主机的恶意代码检测

前基于主机的恶意基于网络的恶

意代码检测

采用数据挖掘和异常目前基于主机的恶意代码检测技术仍然被许多的反病毒软件、恶意代码查杀软件所采用检测技术对海量数据进行求精和关联分析以检测恶意代码是否具有恶意行为采用。

具有恶意行为。

分析与检测方法

基于主机的检测技术

启发法行为法误用检测

基于主机检

测技术完整性控制

术

权限控制

虚拟机检测

基于主机检测技术

误用检测技术

即基于特征码的检测技术。

基于主机检测技术

启发法

这种方法的思想是为病毒的特征设定一个阈值，

当扫描器分析文件时，当文件的总权值超出了

设定值就将其看作是恶意代码

设定值，就将其看作是恶意代码。

行为法

利用病毒的特有行为特征来监测病毒的方法，

称为行为监测法

称为行为监测法。

基于主机检测技术

完整性控制

计算保留特征码，在遇到可以操作时进行比较，根据比计算保留特征码在遇到可以操作时进行比较根据比

较结果作出判断。

权限控制

通过权限控制来防御恶意代码的技术比较典型的有:沙箱技术和安全操作系统

箱技术和安全操作系统。

虚拟机检测

虚拟机检测是一种新的恶意代码检测手段，主要针对使

用代码变形技术的恶意代码，现在己经在商用反恶意软

件上得到了广泛的应用。

基于网络检测技术

通过异常检查可发现网络内主机可能感染异常检测

恶意代码以及感染恶意代码的严重程序，然后采取控制措施。

也称基于特征的检测基于特征的检测首误用检测

也称基于特征的检测。基于特征的检测首先要建立特征规则库，对一个数据包或数据流里德数据进行分析，然后与验证特征库中的特征码来校验

征码来校验。

分析与检测常用工具Tcp View Olly Dbg IDA Pro

Tcp View Olly Dbg IDA Pro InstallSpy

网络活动状

态监视工具

动态调试工

具是一款用

反汇编工具

是一个非常

系统监视工具

能够监视在计是运行于微

软Windows

系统下的一

款小巧的

户级调试器，

具有优秀的

图形界面，

好的反汇编

工具，可以

更好的反汇

算机操作系统

上安装或运行

其他程序时对TCP、UDP

状态观察工

具。

和内核级调

试器。

编和进行深

层次的分析。

本机操作系

统的文件系统、

注册表的影响。

分析与检测常用工具

分析与检测的发展方向

分布式检测研究

实时检测研究

标准化研究发展方向

先进检测算法研究

攻击响应技术研究