基于VMware的恶意程序分析技术

摘要

恶意程序的频现使得网络信息安全形势日益严峻，其变形逃避技术的不断升级也使分析检测变得愈加困难。本文在学习当前恶意程序检测技术及虚拟机相关技术的基础上，提出了一个综合分析检测模型，结合多种检测分析工具，通过在不同阶段对程序代码的认真分析，提取出不同的特征，并采取逐步分类的方式最大程度上正确分类恶意程序，为后面采取相应的处理措施提供依据。主要做了以下一些工作：
　　1.基于虚拟机技术提出了一个综合分析模型。鉴于当前恶意程序变形技术的复杂化，本文提出的模型将对程序的预处理作为第一个单独的模块重点进行分析，对程序进行脱壳解密处理，呈现程序的本来面目，方便后续的分析。同时本模型在静态分析和动态分析的基础上，加入了综合分析模块用于对分析检测比较困难的恶意程序进行分析检测。
　　2.给出了新的特征提取方法。本文提出了在预处理阶段提取程序的基本信息，在静态分析阶段提取程序的函数特征和在动态分析阶段提取程序的行为特征的方法。一方面这样提取的特征信息比较完整，另一方面这些特征更能准确表现程序的功能，便于做出正确的判断。
　　3.提出了分步分类综合衡量的思路。以往的方法都是在可疑程序检测分析的基础上最后做一个分类，本文提出了分步分类的思路，即在对可疑程序检测分析的静态、动态和最后综合阶段分别进行分类，这样既能实现对可疑程序的快速分类，提高检测效率，节省分析成本，又能根据每个可疑程序的复杂程度对其做出最大限度的正确分类。
　　4.针对各模块给出了不同的分类方法。静态、动态模块根据各自提取特征的特点设计了不同的分类算法来进行分类。在最后的综合分析模块本文采用加权向量组成程序的数据特征向量空间，对SVM的分类公式做了简单修改以利于我们的对程序分类，同时对SVM分类器的训练采取主动学习，逐步优化的方式节省了人力和时间。

目录

声明

摘要

插图索引

表格索引

第一章 绪论

1．1 选题背景

1．2 恶意程序简介

1．2．1 恶意程序定义

1．2．2 恶意程序行为

1．3 恶意程序发展趋势

1．4 结构安排

第二章 恶意程序及Rootkit分析基础

2．1 恶意程序分析基础

2．1．1 壳技术基础

2．1．2 加密技术

2．2 Rootkit分析基础

2．2．1 Rootkit功能

2．2．2 内核的主要功能

2．3 支持向量机基础

2．3．1 线性可分支持向量机

2．3．2 线性不可分支持向量机

2．3．3 核函数的选择

2．3．4 0utliers处理方法

第三章 基于VMware的恶意程序检测系统设计

3．1 基本思路

3．2 预处理模块

3．2．1 脱壳

3．2．2 解密

3．2．3 反汇编

3．3 静态分析模块

3．3．1 特征分析

3．3．2 特征提取

3．3．3 分类算法

3．3．4 代码分析

3．4 动态分析模块

3．4．1 动态分析流程

3．4．2 内核工作原理

3．4．3 动态特征分析

3．4．4 动态分类算法

3．5 综合分析模块

3．5．1 特征分析

3．5．2 综合分类

3．6 系统综述

第四章 实验分析

4．1 实验环境的搭建

4．2 各模块实验

4．2．1 脱壳检测与脱壳实验

4．2．2 静态反汇编分析实验

4．2．3 动态执行分析实验

4．3 综合分析结果

4．3．1 实验性能指标

4．3．2 实验步骤

4．4 实验结果分析

第五章 总结与展望

5．1 工作总结

5．2 研究展望

参考文献

致谢

作者简介