基于DynamoRIO的恶意代码行为分析

提出一种基于动态二进制分析的恶意代码行为分析方法,以动态二进制分析平台DynamoRIO为基础设计实现恶意代码行为分析的原型系统。实验结果证明,该系统能够全面地获取恶意代码的API调用序列和参数信息,通过对API调用的关联性进行分析,准确得到恶意代码在文件、注册表、服务及进程线程操作等方面的行为特征。

基于动态二进制分析的网络协议逆向解析

研究未知网络协议逆向解析技术在网络安全应用中具有重要的意义。基于此,介绍网络协议逆向解析技术的发展现状,分析基于网络轨迹和基于数据流的2种主要解析方法,提出一种基于动态二进制分析技术的逆向解析方法,并选取DynamoRIO平台作为支撑,实现对数据流信息的记录和分析,从而解析出单条协议消息中主要的协议域。

一种shellcode动态检测与分析技术

提出一种基于动态二进制平台DynamoRIO的shellcode模型识别与功能分析方法,并实现了基于该方法的原型系统.首先总结了shellcode利用技术,分析了shellcode动态执行特征,利用自动机理论,对shellcode各执行阶段进行了形式化的描述,并给出了各阶段相应的自动机模型及检测分析算法,据此归纳得到shellcode的一般执行模式;其次,提出了一种shellcode的API调用序列分析方法,根据API类型和参数,实现了对shellcode的功能分析.实验结果表明,该方法能够有效检测shell-code,识别执行模式,判定shellcode执行功能.该检测方法对高效检测shellcode、快速判明网络攻击意图和提高对网络攻击事件的响应能力具有重要的应用价值.

缓冲区溢出攻击的自动化检测方法

基于动态二进制平台DynamoRIO,研究了面向二进制代码的缓冲区溢出攻击样本的自动化检测方法.该方法利用动态二进制平台的插桩技术,针对不同的溢出覆盖类型,通过异常捕获、控制流分析和内存状态检查实现了对缓冲区溢出的自动化检测.实验结果表明,该方法能够自动化地、准确地检测出样本中存在的缓冲区溢出攻击,在缓冲区溢出攻击的自动化检测方面具有较好的应用价值.

基于编译置换的指令随机化系统设计与实现

指令集随机化技术是一种通过随机变换程序指令编码来抵御代码注入攻击的新型防御技术。现有指令集随机化技术还存在一定缺陷,如性能损耗大、指令数据混杂造成的编码难等。针对这些问题,提出一种基于编译置换的指令随机化技术。该技术在不降低防御效果的同时减少了随机化指令的数量,并在编译过程中实现了关键指令的随机置换,提高了指令随机化的性能和编码精确度。设计并实现了一套基于编译置换的指令随机化原型系统,验证了该技术的有效性。

软件网络通信过程逆向分析及可视化技术研究

针对软件逆向分析中遇到的软件网络通信过程复杂,分析耗时的问题,提出了软件网络通信过程逆向分析及可视化方法。利用动态二进制平台DynamoRIO记录软件网络通信过程中执行的API函数信息,对记录结果进行函数关联性分析,结合图形化工具软件aiSee,将软件网络通信过程以图形化形式展现。实验结果表明,该方法能够在不影响程序的情况下通过程序的一次运行即正确解析并可视化其网络通信过程。

基于行为信息的恶意代码抗分析技术检测系统设计与实现

近年来,恶意代码动态分析技术取得长足进步,已成为恶意代码检测领域里一种主要的分析和检测技术。但恶意代码作者采用了抗虚拟机、抗调试器等多种抗分析技术对抗动态分析技术,使得动态分析技术无法准确获取恶意代码真正的行为信息,甚至会将恶意样本判定为正常程序。设计并实现了一个基于行为信息的恶意代码抗分析技术检测系统,该系统基于动态二进制插桩平台DynamoRIO获取样本运行中产生的系统调用和API调用等信息,并将这些信息抽取为更粗粒度的行为信息,同抗分析行为库进行比较和判断。实验表明,该系统能有效地检测出恶意代码是否使用了抗分析技术。

基于动态行为和机器学习的恶意代码检测方法

目前恶意代码出现频繁且抗识别性加强,现有基于签名的恶意代码检测方法无法识别未知与隐藏的恶意代码。提出一种结合动态行为和机器学习的恶意代码检测方法。搭建自动化分析Cuckoo沙箱记录恶意代码的行为信息和网络流量,结合Cuckoo沙箱与改进DynamoRIO系统作为虚拟环境,提取并融合恶意代码样本API调用序列及网络行为特征。在此基础上,基于双向门循环单元(BGRU)建立恶意代码检测模型,并在含有12170个恶意代码样本和5983个良性应用程序样本的数据集上对模型效果进行验证。实验结果表明,该方法能全面获得恶意代码的行为信息,其所用BGRU模型的检测效果较LSTM、BLSTM等模型更好,精确率和F1值分别达到97.84%和98.07%,训练速度为BLSTM模型的1.26倍。

基于动态二进制分析的密码算法识别

针对网络安全领域中应用程序内部密码算法识别问题,提出一种基于动态二进制分析的密码算法识别方法。该方法以二进制分析平台DynamoRIO作为支撑,动态记录程序执行期间的数据信息,并综合利用基于统计特征的过滤和分类、基于密码算法常数特征的匹配以及基于数据流分析的函数参数识别等技术,对密码算法进行识别。测试结果表明,该方法能够迅速识别并准确定位应用程序中所使用的密码算法。