基于关键点复用的恶意行为检测方法

Malicious Behavior Detection Method Based on Critical Points Reuse

下载PDF

导出

摘要针对恶意程序使用反虚拟执行技术,分析人员在虚拟环境中不能检测到恶意行为的问题,提出了基于关键点复用的恶意行为检测方法。首先通过静态分析,检测程序中的反虚拟执行关键点;提取程序动态运行时调用的API函数,并在程序运行至关键点时创建当前快照;最后,当运行至路径结束点时通过关键点复用运行另一路径。实验结果表明,该方法能有效对抗恶意程序采用的反虚拟执行技术,从而检测恶意行为。 A malicious behavior detection method based on critical points reuse is proposed in order to solve the problem that analysts can not detect malicious behaviors in virtual environment when anti-virtual execution technology is used by a malware. Firstly, the method detects anti-virtual execution critical points through static analysis, then captures critical API functions when the program runs in virtual environment and creates snapshots at the critical points, and finally, executes a different path through critical point reuse at the end of the path. The experimental results demonstrate that the proposed method can effectively resist anti-virtual execution technologies in malwares and detect malicious behaviors.

作者游超庞建民戴超岳峰

机构地区信息工程大学数学工程与先进计算国家重点实验室 [

出处《信息工程大学学报》 2013年第5期624-628,共5页 Journal of Information Engineering University

基金河南省重大科技攻关专项(092101210500)

关键词恶意程序虚拟环境反虚拟执行关键点复用恶意行为 malware virtual environment anti-virtual execution critical points reuse malicious behaviors

分类号 TP309.5 [自动化与计算机技术—计算机系统结构]

引文网络
相关文献

参考文献12

1ANUBIS. Analysis of unknown binaries[ EB/OL]. [ 2012-12-09 ]. http ://anubis. iseelab, org. 被引量：1
2Yin H, Song D. TEMU: binary code analysis via whole-system layered annotative execution[ EB/OL]. [ 2012-12-20 ]. http:// lcs. syr. edu/facuhy/yin/pubs/EECS-2010-3, pdf. 被引量：1
3FABRICE. QEMU: The open source processor emulator[ EB/OL]. [2012-12-23 ]. http://wiki, qemu. org/Index, html. 被引量：1
4Paleari R, Martignoni L, Roglia G F, et al. A fistful of red-pills: how to automatically generate procedures to detect CPU em- ulators [ C]// USENIX-Woot. 2009:61-67. 被引量：1
5Martignoni L, Paleari R, Roglia G F, et al. Testing CPU emulators[ C ]//International Symposium on Software Testing and A- nalysis. 2009:21-32. 被引量：1
6Thomas Raffetseder, Christopher Kruegel, Engin Kirda. Detecting system emulators [ EB/OL ]. [ 2012-12-21]. http ://www. cs. ucsb. edu! - chris/research/doc/isc07 detection, pdf. 被引量：1
7Ferrie P. Attacks on virtual machines emulators[ C ]// Proceedings of the Association of Anti-Virus Asia Researchers Confer- ence. 2007 : 125-137. 被引量：1
8Rutkowska J. Red-pill or how to detect VMM using (almost) one CPU instruction[ EB/OL]. [ 2012-12-23 ]. http://www, in- visible, things, org/papers/redpill, html. 被引量：1
9吴发伟,方勇,刘亮.一种恶意软件分析中检测虚拟环境的方法[J].信息与电子工程,2010,8(3):364-367. 被引量：4
10Kang M, Yin H, Hanna S, et al. Emulating emulation-resistant malware[ C ]//Workshop on Virtual Machine Security. Chi- cago, 2010 : 356-368. 被引量：1

二级参考文献11

1David Yu Zhu,Erika Chin. Detection of VM-Aware Malware[EB/OL]. (2007-12-11)[2009-10-20]. http://radlab.es.berkeley. edu/w/uploads/3/3 d/Detecting_VM_Aware_Malware.pdf. 被引量：1
2Ulrich Bayer. TTAnalyze:A Tool for Analyzing Malware[D]. Vienna:Information Systems Institute and at the Institute of Computer Aided Automation Technical University of Vienna, 2005. 被引量：1
3Zknk Den. Detecting Vmwares Remotely[EB/OL]. [2009-10-20]. http://www.secniche.org/papers/Detecting_Vmwares Remotely.pdf. 被引量：1
4Tobias Klein. Scoopy doo Vmware fingerprint suite[EB/OL]. (2003)[2009-10-20]. http://www.trapkit.de/research/vmm/scoopydoo/ index.html. 被引量：1
5Rutkowska Joanna. Red Pill…or how to detect VMM using (almost) one CPU instruction[EB/OL]. (2004-11)[2009-10-20]. http://invisiblethin gs .org/papers/redpill .html. 被引量：1
6Danny Quist,Val Smith. Detecting the presence of virtual machines using the local data Table[EB/OL]. (2005)[2009-10-20]. http://www. offensivecomputing.net/dc 14/vm.pdf. 被引量：1
7Elias Aka Lallous. Detect if your program is running inside a virtual machine[EB/OL]. (2005-04-04)[2009-10-20]. http:// http://www.codeproject.com/KB/system/VmDetect.aspx. 被引量：1
8Li Sun,Tim Ebringer,Serdar Boztas. An automatic anti-anti-VMware technique applicable for multi-stage packed malware[C]// 3rd International Conference on Malicious and Unwanted Software(Malware'08). Washington,DC,USA:IEEE Computer Society, 2008:17-23. 被引量：1
9Matthew Carpenter,Tom Liston,Ed Sloudis. Hiding virtualization from attackers and malware[J]. IEEE Security & Privacy, 2007,5(3):62-65. 被引量：1
10Popek G J,Goldberg R P. Formal requirements for virtualizable third generation Architectures[J]. Communications of the ACM, 1974,17(7):412-421. 被引量：1

共引文献3

1杨鹏,方勇,刘亮,浦伟,左政.基于CPU缓存操作模式差异的虚拟机检测方法[J].信息与电子工程,2012,10(6):775-778.
2熊昕.基于Internet的虚拟外贸模拟实训系统的研发[J].信息技术与标准化,2013(3):75-78.
3周莉,胡小桃,方勇,刘亮.基于虚拟机的恶意代码检测系统研究[J].信息安全与通信保密,2013,11(5):79-81.

1戈戟,史洪,徐良华.Shellcode静态检测技术研究[J].计算机应用与软件,2010,27(2):47-49. 被引量：1
2张国印,曲家兴,李晓光.基于贝叶斯网络的Android恶意行为检测方法[J].计算机工程与应用,2016,52(17):16-23. 被引量：7
3陈顼颢,王志英,任江春,郑重,黄訸.一种新型病毒主动防御技术与检测算法[J].计算机应用研究,2010,27(6):2338-2340. 被引量：9
4梁丽红.基于新型病毒主动防御技术与检测算法的研究[J].价值工程,2011,30(3):174-174.
5忻建,范建中.一种虚拟执行蜘蛛的设计与实现[J].电脑与电信,2009(6):61-63.
6郑重,王志英,陈顼颢,黄訸.基于病毒行为序列的未知病毒分析技术研究[J].计算机安全,2010(5):4-5. 被引量：2
7车晶,张瑛.一种基于主动学习的数据库恶意行为检测方法[J].网络安全技术与应用,2012(10):62-64.
8蔡皖东.基于数据挖掘的恶意行为检测方法[J].计算机科学,2003,30(4):65-66. 被引量：1
9张杰,吕红,周立军,王丽娜.基于虚拟执行的动态工作流演进算法[J].计算机工程,2011,37(15):27-29. 被引量：1
10彭程,段桂华,王湘新,董苹苹,郭克华.一种基于虚拟执行与判定覆盖结合的Flash漏洞检测方法[J].中南大学学报（自然科学版）,2013,44(12):4910-4915.

信息工程大学学报

2013年第5期

浏览历史

内容加载中请稍等...

基于关键点复用的恶意行为检测方法

参考文献12

二级参考文献11

共引文献3

相关作者

相关机构

相关主题

浏览历史