恶意代码的变形技术研究

恶意代码常常使用一些隐形技术来躲避反病毒软件的检测。然而,采用加密和多态技术的恶意代码已经难以躲避基于特征码和代码仿真技术的检测,而变形技术却呈现出较强的反检测能力。通过对变形技术作深入的分析,详细介绍了变形引擎及其所采用的代码混淆技术,以及当前的变形恶意代码检测技术,并简要分析了变形技术在软件防护领域的应用。     

基于归一化的变形恶意代码检测

许多未知恶意代码是由已知恶意代码变形而来。该文针对恶意代码常用的变形技术,包括等价指令替换、插入垃圾代码和指令重排,提出完整的归一化方案,以典型的变形病毒Win32.Evol对原型系统进行测试,是采用归一化思想检测变形恶意代码方面的有益尝试。     

恶意代码多态技术研究

随着恶意代码的发展,恶意代码的隐蔽性也在不断增强。多态技术便是躲避常规检测方法的一种有效的技术,本文对恶意代码检测技术进行分析,并举例介绍目前常用的多态技术,通过本文对多态有一个更深的认识。     

基于抽象特征检测变形恶意代码

传统的恶意代码检测方法通常以固定的指令或字节序列这些具体特征作为检测依据,因此难以检测变形恶意代码.使用抽象特征是解决该问题的一个思路.本文针对恶意代码常用的变形技术,即等价指令替换、垃圾代码插入以及指令乱序进行研究.定义了一种抽象特征,同时提出了依据该抽象特征检测变形恶意代码的方法.最后,以典型变形病毒Win32.Evol为对象进行了实验,将该方法与其它方法进行了对比.实验结果验证了该方法的有效性.     

多态变形在源代码中的应用

该文介绍了多态变形技术,简述了多态变形的常见问题,以及在源程序设计中加入了多态变形技术以保护软件权益的可行性及关键性问题。     

基于PE文件冗余的空间多态技术

在传播过程中,越来越多的计算机病毒利用加密、多态、变形等技术来改变自身代码形态,提高自我保护能力,以躲避反病毒软件查杀。然而,传统的多态、变形技术存在体积膨胀、实现复杂等严重缺陷。针对这些问题,通过分析PE文件的框架结构,结合PE文件中存在冗余的特点,提出了空间多态的概念,并详细阐述了空间多态技术的工作原理,设计实现了空间多态引擎,最后进一步分析了空间多态技术的鲁棒性。     

网络攻击中多态变形技术分析及其对抗策略

该文在分析了多态引擎设计的两种方法:随机生成法和动态修改法之后,提出了集成多态引擎模型。该多态引擎很好地将病毒变形技术应用到多态病毒解密器中,消除了普通多态病毒解密头具有固定特征码的缺陷,使之能够产生更多种变体,而不易被查杀。针对可能具有该多态引擎的病毒,该文分析了相应的对抗策略。     

恶意代码模糊变换技术研究

在分析恶意代码模糊变换技术的基础上,给出了恶意代码模糊变换的形式化描述,提出了模糊变换引擎的框架结构,实现了恶意代码模糊变换引擎原型。试验结果表明模糊变换技术可以有效地提高恶意代码的生存能力。     

针对指令乱序变形技术的归一化研究

新出现的恶意代码大部分是在原有恶意代码基础上修改转换而来.许多变形恶意代码更能自动完成该过程,由于其特征码不固定,给传统的基于特征码检测手段带来了极大挑战.采用归一化方法,并结合使用传统检测技术是一种应对思路.本文针对指令乱序这种常用变形技术提出了相应的归一化方案.该方案先通过控制依赖分析将待测代码划分为若干基本控制块,然后依据数据依赖图调整各基本控制块中的指令顺序,使得不同变种经处理后趋向于一致的规范形式.该方案对指令乱序的两种实现手段,即跳转法和非跳转法,同时有效.最后通过模拟测试对该方案的有效性进行了验证.     

基于特征序列的恶意代码静态检测技术

近年来,基于机器学习方法的恶意代码检测方法存在着无法自动和高效地提取恶意代码的问题,有些还需要人工对特征进行提取,但是提取的特征没有深层地描述恶意代码行为,存在检测的准确率较低、效率低等缺点。通过对静态恶意代码进行分析,从纹理特征和操作码特征入手,在提取纹理特征过程中,提出一种Simhash处理编译文件转换成灰度图像的方法,生成灰度图像后通过GIST算法和SIFT算法提取全局和局部图像纹理特征,并将全局和局部图像特征进行融合。     

恶意代码演化与溯源技术研究

恶意代码溯源是指通过分析恶意代码生成、传播的规律以及恶意代码之间衍生的关联性，基于目标恶意代码的特性实现对恶意代码源头的追踪.通过溯源可快速定位攻击来源或者攻击者，对攻击者产生一定的震慑打击作用，具有遏制黑客攻击、完善网络安全保障体系的重要作用和价值.近年来，网络安全形势愈加严峻，归类总结了学术界和产业界在恶意代码溯源领域的研究工作，首先揭示了恶意代码的编码特性以及演化特性，并分析这些特性与溯源的关系；然后，分别从学术界和产业界对恶意代码的溯源技术和研究进行梳理，同时对每个溯源阶段的作用以及影响程度进行了讨论，并对目前恶意代码的溯源对抗手段进行分析；最后讨论了恶意代码溯源技术面对的挑战和未来的发展趋势.     

基于UEFI固件的恶意代码防范技术研究

统一可扩展固件接口(UEFI)缺乏相应的安全保障机制,易受恶意代码的攻击,而传统的计算机安全系统无法为固件启动过程和操作系统引导过程提供安全保护。针对上述问题,设计基于UEFI的恶意代码防范系统。该系统利用多模式匹配算法实现特征码检测引擎,用于在计算机启动过程中检测与清除恶意代码,并提供恶意启动项处理及系统内核文件备份等功能。实验结果证明,该系统能为固件及上层操作系统提供完善的安全保护,且代码尺寸小、检测速度快,恶意代码识别率高。     

基于CNN-BiLSTM的恶意代码家族检测技术

近年来快速增加的恶意代码数量中大部分是由原有家族中通过变异产生,所以对恶意代码家族进行检测分类显得尤为重要。提出了一种基于CNN-BiLSTM网络的恶意代码家族检测方法,将恶意代码家族可执行文件直接转换为灰度图像,利用CNN-BiLSTM网络模型对图像数据集进行检测分类。此方法在避免计算机受到恶意代码伤害的同时全面高效地提取特征,结合CNN和BiLSTM的优点从局部和全局两个方面学习恶意代码家族的特征并实现分类。实验对4个恶意代码家族的4 418个样本进行识别,结果表明该模型相对于传统机器学习具有更高的准确率。     

基于恶意代码的检测技术研究

恶意代码检测是保证信息系统安全的一个重要手段,从传统的特征码匹配到启发式检测,甚至基于神经网络的代码检测,整个检测手段在向着更加智能化更加具有自动适应能力的方向发展,检测系统也越来越具有自动分析与自动学习的能力。     

基于网络的恶意代码检测技术探析

近几年,恶意代码侵袭网络范围不断扩大,对网络健康发展构成了巨大威胁,如何能有效消除恶意代码对网络的影响已成为社会关注焦点。恶意代码具有多变性和快速性,传统的基于特征的检测手段已经被淘汰,目前基于网络的恶意代码检测技术已经普遍运用,并且取得令人满意的成效。在对恶意代码种类分析的前提下,进一步探析了恶意代码检测技术的实施方法以及实施效果,希望能为网络减少恶意代码侵害起到积极的促进作用。     

“挂马”

网页挂马就是在网页的源代码中加入一段恶意代码，利用系统漏洞实现将木马程序自动下载到用户电脑之中。     

Mitigating Malicious Code

ABSTRACT

Mitigation of malicious code is increasingly complicated by multi-staged and mutli-variant attacks taking place daily on the Internet today. It is now common for computers to be infected for long periods of time, with malicious browser help objects, rootkits, and similar stealth codes. Identification and removal from a computer can be especially difficult. In some cases, the only reasonable effort may be to completely wipe and reinstall an image of the system, known to be free of malicious code. Manual mitigation of malicious code is a sophisticated process of threat identification, research, mitigation, and monitoring to properly remove all threat components related to an attack.     

恶意代码自动脱壳技术研究

恶意程序普遍使用一些高级的软件保护技术躲避检测工具等的查杀,而复杂的程序加壳技术就是其中的典型代表,必须对其进行脱壳操作才能进行彻底的分析。文章以对壳程序特征的分析为基础,提取样本程序的外壳特征,自动提取加壳程序隐藏的代码和数据,并提出了基于动态分析平台的自动脱壳系统的设计方案。实验结果表明,该系统可以有效处理常见的外壳程序类型,一方面提高了脱壳技术的自动化程度,另一方面大大增强了脱壳技术的通用性。     

融合注意力机制的恶意代码家族分类研究

近年来,随着恶意代码家族变种的多样化和混淆等对抗手段的不断加强,传统的恶意代码检测方法难以取得较好的分类效果.鉴于此,提出了一种融合注意力机制的恶意代码家族分类模型.首先,使用逆向反汇编工具获取恶意样本的各区段特征,并利用可视化技术将各区段转化为RGB彩色图像的各通道;其次,引入通道域和空间域注意力机制来构建基于混合域...