动态指令流差分分析在恶意软件分析中的应用

针对静态分析方法已不能满足安全分析的需求,而传统的动态分析技术不能快速定位关键信息,且分析效率不高,提出了一种动态指令流差分分析技术,描述了差分分析模型和分析方法。该分析技术能够高速有效地分析恶意软件的关键数据,识别加密算法,分析混淆代码的功能模块和数据扩散情况。通过实验对其可行性和高效性进行了验证。

基于云计算的病毒恶意软件分析

随着信息技术领域的快速发展,传统反病毒软件的有效性日渐受到质疑,近年来频频出现的恶性网络事件也也证明了传统恶意软件分析方法确实存在不足,而为了能够更好保护网络安全,本文基于云计算的病毒恶意软件分析展开了具体研究,希望这一研究能够相关业内人士带来一定启发。

恶意软件网络协议的语法和行为语义分析方法

网络协议逆向分析是恶意软件分析的一项重要内容.现有的网络协议逆向分析方法主要考虑获取消息格式和协议语法,缺少数据的行为语义,导致分析者难以在网络数据和恶意软件行为之间建立起对应关系.提出一种网络协议的语法规范和字段行为语义分析方法,该方法利用基于虚拟执行环境的动态程序分析技术,通过分析恶意软件对网络数据的解析过程提取协议语法信息,并根据恶意软件对协议字段的使用方式获取字段的程序行为语义.通过结合API拦截和指令执行监控,该方法降低了分析复杂度,提高了分析效率.在所设计和实现的原型系统Prama(protocol reverse analyzer for malware analysis)上的实验结果表明,该方法能够较为准确地识别字段,提取协议语法规范,并能在命令字段与其引起的程序行为之间建立起有效的对应关系.

一种恶意软件行为分析系统的设计与实现

基于虚拟化技术的恶意软件行为分析是近年来出现的分析恶意软件的方法。该方法利用虚拟化平台良好的隔离性和控制力对恶意软件运行时的行为进行分析,但存在两方面的不足:一方面,现有虚拟机监视器(Virtual Machine Monitor,VMM)的设计初衷是提高虚拟化系统的通用性和高效性,并没有充分考虑虚拟化系统的透明性,导致现有的VMM很容易被恶意软件的环境感知测试所发现。为此,提出一种基于硬件辅助虚拟化技术的恶意软件行为分析系统——THVA。THVA是一个利用了安全虚拟机(SVM)、二级页表(NPT)和虚拟机自省等多种虚拟化技术完成的、专门针对恶意软件行为分析的微型VMM。实验结果表明,THVA在行为监控和反恶意软件检测方面表现良好。

一种基于内核级监测的恶意软件聚类分析方法

恶意软件分析技术的研究一直都是安全研究的重点之一。近年来,基于机器学习和数据挖掘算法的恶意软件行为特征的分析方法逐渐受到研究人员的重视。但目前这类方法普遍基于用户态行为进行分析。针对用户态监测所处层级高、容易造成获取行为不完整等问题,本文提出一种基于内核级监测的恶意软件聚类方法,在内核中监测获取恶意软件内核函数调用序列,提取内核行为表示成内核行为表示模型,并采用层次聚类算法对内核行为序列进行聚类分析。通过实验,验证了本文的分析方法能够获取较好的分析结果。

硬件虚拟化恶意软件行为分析系统的设计与实现

本文提出一种基于硬件辅助虚拟化技术的恶意软件行为分析系统———THVA。THVA是一个只有6000余行代码,利用了安全虚拟机(SVM)、二级页表(NPT)、外部设备访问保护(EAP)和虚拟机自省等多种虚拟化技术完成的、专门针对恶意软件行为分析的微型VMM。并对系统的虚拟自省性进行了测试,证明了系统的有效性。

基于硬件虚拟化的恶意软件行为分析系统

基于虚拟化技术的恶意软件行为分析是近年来出现的分析恶意软件的方法。本文首先对当前主流恶意软件行为分析技术进行了探讨,然后在此基础之提出了一种基于硬件辅助虚拟化技术的恶意软件行为分析系统——THVA,并设计了性能测试实验来证明THVA的有效性。

“逆向分析核心技术”课程优化方案研究

"逆向分析核心技术"课程是中国刑事警察学院网络安全与执法专业的选修课,旨在培养学生利用"逆向分析"技术对没有源代码的恶意软件程序进行分析取证的能力。为保障课程的持续化建设,将新案例与现有课程内容有效融合,解决原有课程内容与恶意软件分析领域新动态脱节问题,提出了基于案例库的"逆向分析核心技术"课程优化方案,构建易维护、可扩展的恶意软件案例库,并将之与课程知识体系有效结合。所提出的课程优化方案对相关专业课程内容优化与持续性建设研究有积极贡献和参考价值。

GNS3在网络安全攻防中的应用

文章深入研究基于硬件模拟的优秀图形化的Cisco网络模拟器(Graphical Network Simulator 3,GNS3)在网络安全攻防中的应用,探讨其在模拟网络环境、网络安全教育、安全演练中的关键角色。通过论述GNS3的定义和工作原理,介绍GNS3的基本特征、分析应用和实例,文章强调GNS3作为一个实验和培训工具的重要性。文章研究表明,GNS3对提高网络安全水平和应对不断变化的网络威胁具有广泛的应用价值。

Android恶意软件检测研究与进展

针对持续恶化的Android安全形势,从恶意软件检测的角度,首先总结了Android恶意软件在安装、触发和恶意负载方面的特征和发展趋势;以此为基础,结合Android平台特性和移动智能终端环境限制,系统化论述了现有Android恶意软件分析与判定技术,指出了权限分析、动态分析和静态分析的实现方法及其优缺点;介绍了基于特征值和基于启发式的恶意软件判定方法.最后,根据已有Android恶意软件检测研究的不足,提出了未来的研究方向和发展趋势.

基于特征提取的二进制代码比较技术

二进制代码比较技术在病毒变种分析、安全补丁分析、版本信息导出等许多领域都有着广泛的应用。在定义了基于图的二进制代码描述方法的基础上,从函数和基本块两个层次对近似的二进制代码进行比较,分析出它们之间相同的部分和差异信息。讨论了基于图的二进制文件特征的选取,利用特征比较和固定点传播算法,建立两份代码在函数和基本块两个级别的对应关系。论文给出了这种基于特征提取的二进制代码比较技术的实现框架,并列举了它在恶意软件变种分析,公开漏洞定位方面的利用实例。

基于CPU缓存操作模式差异的虚拟机检测方法

虚拟化技术已被广泛用于恶意软件分析系统,而虚拟机检测技术作为一种反分析技术,对恶意软件作者和安全研究人员都有重要意义。为了描述和探索虚拟机检测方法,给出了虚拟机检测的基本思想并介绍了几种已有检测方法,考虑到检测方法的通用性,提出了基于CPU缓存(Cache)操作模式差异的虚拟机检测方法,通过比较启用CPU缓存和禁用CPU缓存时的指令执行效率来判断当前环境是否为虚拟环境。通过实验发现在真机环境中禁用CPU缓存对指令执行效率有显著影响,而在虚拟环境中禁用CPU缓存对指令执行效率没有显著影响。实验结果表明,利用CPU缓存操作模式在真机环境与虚拟环境中的差异来检测虚拟机是可行的。

Windows系统恶意软件中的虚拟化对抗技术研究

虚拟系统提供了隔离的虚拟化行为监控环境,被广泛应用于恶意软件分析和检测,攻击者使用一系列技术手段来探测、躲避虚拟化环境。本文详细介绍了当前已知的虚拟环境探测与逃逸技术,并给出相关技术代码,以期帮助恶意软件分析人员快速准确地识别出这些对抗技术,并采用有效的技术手段,降低其分析难度。

Android Malware Detection with Contrasting Permission Patterns

As the risk of malware is sharply increasing in Android platform,Android malware detection has become an important research topic.Existing works have demonstrated that required permissions of Android applications are valuable for malware analysis,but how to exploit those permission patterns for malware detection remains an open issue.In this paper,we introduce the contrasting permission patterns to characterize the essential differences between malwares and clean applications from the permission aspect Then a framework based on contrasting permission patterns is presented for Android malware detection.According to the proposed framework,an ensemble classifier,Enclamald,is further developed to detect whether an application is potentially malicious.Every contrasting permission pattern is acting as a weak classifier in Enclamald,and the weighted predictions of involved weak classifiers are aggregated to the final result.Experiments on real-world applications validate that the proposed Enclamald classifier outperforms commonly used classifiers for Android Malware Detection.

抗混淆的Android应用相似性检测方法

为了对抗混淆问题,更好地应对相似性检测需求,基于抗混淆的7种应用代码特征,以及抗混淆的音频和图片文件特征,提出一种新型的抗混淆相似性检测和评估方法.并基于该方法实现了可满足大数据分析环境的原型系统.通过该系统对1 259款恶意应用和12个应用商店的288款应用进行分析,结果表明:该方法可有效对抗混淆攻击,完成同源性分析,依据同源性分析结果可对零日恶意应用进行识别.实验证明该方法可有效对抗代码混淆给相似性检测带来的问题,特征选取具有全局性,效果优于同类方法.

A survey of malware behavior description and analysis

Behavior-based malware analysis is an important technique for automatically analyzing and detecting malware, and it has received considerable attention from both academic and industrial communities. By considering how malware behaves, we can tackle the malware obfuscation problem, which cannot be processed by traditional static analysis approaches, and we can also derive the as-built behavior specifications and cover the entire behavior space of the malware samples. Although there have been several works focusing on malware behavior analysis, such research is far from mature, and no overviews have been put forward to date to investigate current developments and challenges. In this paper, we conduct a survey on malware behavior description and analysis considering three aspects： malware behavior description, behavior analysis methods, and visualization techniques. First, existing behavior data types and emerging techniques for malware behavior description are explored, especially the goals, prin- ciples, characteristics, and classifications of behavior analysis techniques proposed in the existing approaches. Second, the in- adequacies and challenges in malware behavior analysis are summarized from different perspectives. Finally, several possible directions are discussed for future research.