Android恶意软件检测研究与进展 被引量：49

1

作者 彭国军 李晶雯 +1 位作者 孙润康 肖云倡 《武汉大学学报（理学版）》 CAS CSCD 北大核心 2015年第1期21-33,共13页

针对持续恶化的Android安全形势,从恶意软件检测的角度,首先总结了Android恶意软件在安装、触发和恶意负载方面的特征和发展趋势;以此为基础,结合Android平台特性和移动智能终端环境限制,系统化论述了现有Android恶意软件分析与判定技术... 针对持续恶化的Android安全形势,从恶意软件检测的角度,首先总结了Android恶意软件在安装、触发和恶意负载方面的特征和发展趋势;以此为基础,结合Android平台特性和移动智能终端环境限制,系统化论述了现有Android恶意软件分析与判定技术,指出了权限分析、动态分析和静态分析的实现方法及其优缺点;介绍了基于特征值和基于启发式的恶意软件判定方法.最后,根据已有Android恶意软件检测研究的不足,提出了未来的研究方向和发展趋势. 展开更多

关键词 ANDROID 恶意软件特征 恶意软件分析 恶意软件检测

原文传递

恶意软件网络协议的语法和行为语义分析方法 被引量：23

2

作者 应凌云 杨轶 +1 位作者 冯登国 苏璞睿 《软件学报》 EI CSCD 北大核心 2011年第7期1676-1689,共14页

网络协议逆向分析是恶意软件分析的一项重要内容.现有的网络协议逆向分析方法主要考虑获取消息格式和协议语法,缺少数据的行为语义,导致分析者难以在网络数据和恶意软件行为之间建立起对应关系.提出一种网络协议的语法规范和字段行为语... 网络协议逆向分析是恶意软件分析的一项重要内容.现有的网络协议逆向分析方法主要考虑获取消息格式和协议语法,缺少数据的行为语义,导致分析者难以在网络数据和恶意软件行为之间建立起对应关系.提出一种网络协议的语法规范和字段行为语义分析方法,该方法利用基于虚拟执行环境的动态程序分析技术,通过分析恶意软件对网络数据的解析过程提取协议语法信息,并根据恶意软件对协议字段的使用方式获取字段的程序行为语义.通过结合API拦截和指令执行监控,该方法降低了分析复杂度,提高了分析效率.在所设计和实现的原型系统Prama(protocol reverse analyzer for malware analysis)上的实验结果表明,该方法能够较为准确地识别字段,提取协议语法规范,并能在命令字段与其引起的程序行为之间建立起有效的对应关系. 展开更多

关键词 恶意软件分析 网络协议逆向分析 动态分析 网络安全

下载PDF 职称材料

基于环境敏感分析的恶意代码脱壳方法 被引量：12

3

作者 王志 贾春福 鲁凯 《计算机学报》 EI CSCD 北大核心 2012年第4期693-702,共10页

加壳技术是软件的常用保护手段,但也常被恶意代码用于躲避杀毒软件的检测.通用脱壳工具根据加壳恶意代码运行时的行为特征或统计特征进行脱壳,需要建立监控环境,因此易受环境敏感技术的干扰.文中提出了一种基于环境敏感分析的恶意代码... 加壳技术是软件的常用保护手段,但也常被恶意代码用于躲避杀毒软件的检测.通用脱壳工具根据加壳恶意代码运行时的行为特征或统计特征进行脱壳,需要建立监控环境,因此易受环境敏感技术的干扰.文中提出了一种基于环境敏感分析的恶意代码脱壳方法,利用动静结合的分析技术检测并清除恶意代码的环境敏感性.首先,利用中间语言对恶意代码的执行轨迹进行形式化表示;然后,分析执行轨迹中环境敏感数据的来源和传播过程,提取脱壳行为的环境约束;最后,求解环境约束条件,根据求解结果对恶意代码进行二进制代码插装,清除其环境敏感性.基于此方法,作者实现了一个通用的恶意代码脱壳工具:MalUnpack,并对321个最新的恶意代码样本进行了对比实验.实验结果表明MalUnpack能有效对抗恶意代码的环境敏感技术,其脱壳率达到了89.1%,显著高于现有基于动态监控的通用脱壳工具的35.5%和基于特征的定向脱壳工具的28.0%. 展开更多

关键词 恶意代码分析 脱壳技术 环境敏感分析 污点分析 符号执行

下载PDF 职称材料

基于覆盖率分析的僵尸网络控制命令发掘方法 被引量：12

4

作者 王志 蔡亚运 +1 位作者 刘露 贾春福 《通信学报》 EI CSCD 北大核心 2014年第1期156-166,共11页

从僵尸程序执行轨迹对二进制代码块的覆盖规律出发,提出了一种僵尸网络控制命令发掘方法。通过分析执行轨迹对代码块的覆盖率特征实现对僵尸网络控制命令空间的发掘,根据代码空间是否被全覆盖来验证发现的僵尸网络命令空间的全面性。对... 从僵尸程序执行轨迹对二进制代码块的覆盖规律出发,提出了一种僵尸网络控制命令发掘方法。通过分析执行轨迹对代码块的覆盖率特征实现对僵尸网络控制命令空间的发掘,根据代码空间是否被全覆盖来验证发现的僵尸网络命令空间的全面性。对僵尸网络Zeus、SdBot、AgoBot的执行轨迹进行了代码块覆盖率分析,结果表明,该方法能够快速准确地发掘出僵尸网络的控制命令集合,时间和空间开销小,且该命令集合所对应的执行轨迹可以覆盖僵尸程序95%以上的代码空间。 展开更多

关键词 恶意代码分析 僵尸网络 命令与控制协议 基本块 覆盖率

下载PDF 职称材料

基于特征提取的二进制代码比较技术 被引量：6

5

作者 曾鸣 赵荣彩 +1 位作者 姚京松 王小芹 《计算机工程与应用》 CSCD 北大核心 2006年第22期8-11,共4页

二进制代码比较技术在病毒变种分析、安全补丁分析、版本信息导出等许多领域都有着广泛的应用。在定义了基于图的二进制代码描述方法的基础上,从函数和基本块两个层次对近似的二进制代码进行比较,分析出它们之间相同的部分和差异信息。... 二进制代码比较技术在病毒变种分析、安全补丁分析、版本信息导出等许多领域都有着广泛的应用。在定义了基于图的二进制代码描述方法的基础上,从函数和基本块两个层次对近似的二进制代码进行比较,分析出它们之间相同的部分和差异信息。讨论了基于图的二进制文件特征的选取,利用特征比较和固定点传播算法,建立两份代码在函数和基本块两个级别的对应关系。论文给出了这种基于特征提取的二进制代码比较技术的实现框架,并列举了它在恶意软件变种分析,公开漏洞定位方面的利用实例。 展开更多

关键词 二进制代码比较 函数控制流图 恶意软件分析

下载PDF 职称材料

一种基于语义的恶意行为分析方法 被引量：6

6

作者 李佳静 梁知音 +1 位作者 韦韬 毛剑 《北京大学学报（自然科学版）》 CAS CSCD 北大核心 2008年第4期537-542,共6页

提出了一种基于语义的恶意行为分析方法,可以对基于函数调用的攻击进行完整刻画,支持流敏感、上下文敏感且路径敏感的函数间分析。与现有方法相比可以更加准确地描述全局状态中的基于函数调用的攻击行为。针对多个恶意程序和应用程序的... 提出了一种基于语义的恶意行为分析方法,可以对基于函数调用的攻击进行完整刻画,支持流敏感、上下文敏感且路径敏感的函数间分析。与现有方法相比可以更加准确地描述全局状态中的基于函数调用的攻击行为。针对多个恶意程序和应用程序的分析表明,该方法可以有效地识别代码中的恶意行为。 展开更多

关键词 恶意代码分析 代码混淆 模型检验 信息安全

下载PDF 职称材料

基于污点和概率的逃逸恶意软件多路径探索

7

作者 徐钫洲 张网 +1 位作者 羌卫中 金海 《Security and Safety》 2023年第3期83-106,共24页

Static analysis is often impeded by malware obfuscation techniques,such as encryption and packing,whereas dynamic analysis tends to be more resistant to obfuscation by leveraging concrete execution information.Unfortu... Static analysis is often impeded by malware obfuscation techniques,such as encryption and packing,whereas dynamic analysis tends to be more resistant to obfuscation by leveraging concrete execution information.Unfortunately,malware can employ evasive techniques to detect the analysis environment and alter its behavior accordingly.While known evasive techniques can be explicitly dismantled,the challenge lies in generically dismantling evasions without full knowledge of their conditions or implementations,such as logic bombs that rely on uncertain conditions,let alone unsupported evasive techniques,which contain evasions without corresponding dismantling strategies and those leveraging unknown implementations.In this paper,we present Antitoxin,a prototype for automatically exploring evasive malware.Antitoxin utilizes multi-path exploration guided by taint analysis and probability calculations to effectively dismantle evasive techniques.The probabilities of branch execution are derived from dynamic coverage,while taint analysis helps identify paths associated with evasive techniques that rely on uncertain conditions.Subsequently,Antitoxin prioritizes branches with lower execution probabilities and those influenced by taint analysis for multi-path exploration.This is achieved through forced execution,which forcefully sets the outcomes of branches on selected paths.Additionally,Antitoxin employs active anti-evasion countermeasures to dismantle known evasive techniques,thereby reducing exploration overhead.Furthermore,Antitoxin provides valuable insights into sensitive behaviors,facilitating deeper manual analysis.Our experiments on a set of highly evasive samples demonstrate that Antitoxin can effectively dismantle evasive techniques in a generic manner.The probability calculations guide the multi-path exploration of evasions without requiring prior knowledge of their conditions or implementations,enabling the dismantling of unsupported techniques such as C2 and significantly improving efficiency compared to linear ex 展开更多

关键词 malware analysis dynamic binary instrumentation forced execution taint analysis evasion detection

原文传递

Malware Detection Using Deep Learning

8

作者 Achi Harrisson Thiziers Koné Tiémoman +1 位作者 N’guessan Behou Gérard Traoré Tiémoko Qouddouss Kabir 《Open Journal of Applied Sciences》 2023年第12期2480-2491,共12页

Malware represents a real threat to information systems, because of the damage it causes. This threat is growing today, as these programs take on more complex forms. This means they escape traditional malware detectio... Malware represents a real threat to information systems, because of the damage it causes. This threat is growing today, as these programs take on more complex forms. This means they escape traditional malware detection methods. Hence the need for artificial intelligence, more specifically Deep Learning, which could detect malware more effectively. In this article, we’ve proposed a model for malware detection using artificial neural networks. Our approach used data from the characteristics of machines, particularly computers, to train our Deep Learning algorithm. This model demonstrated an accuracy of around 83% in predicting the presence of malware on a machine. Thus, the use of artificial neural networks for malware detection has shown his ability to assimilate complex, non-linear patterns from data. 展开更多

关键词 Neural Network ANNS Malicious Code malware analysis Artificial Intelligence

下载PDF 职称材料

GNS3在网络安全攻防中的应用

9

作者 吴文绛 《信息与电脑》 2023年第23期203-205,共3页

文章深入研究基于硬件模拟的优秀图形化的Cisco网络模拟器(Graphical Network Simulator 3,GNS3)在网络安全攻防中的应用,探讨其在模拟网络环境、网络安全教育、安全演练中的关键角色。通过论述GNS3的定义和工作原理,介绍GNS3的基本特... 文章深入研究基于硬件模拟的优秀图形化的Cisco网络模拟器(Graphical Network Simulator 3,GNS3)在网络安全攻防中的应用,探讨其在模拟网络环境、网络安全教育、安全演练中的关键角色。通过论述GNS3的定义和工作原理,介绍GNS3的基本特征、分析应用和实例,文章强调GNS3作为一个实验和培训工具的重要性。文章研究表明,GNS3对提高网络安全水平和应对不断变化的网络威胁具有广泛的应用价值。 展开更多

关键词 GNS3 网络安全攻防 网络模拟器 恶意软件分析

下载PDF 职称材料

一种恶意软件分析中检测虚拟环境的方法 被引量：4

10

作者 吴发伟 方勇 刘亮 《信息与电子工程》 2010年第3期364-367,共4页

安全厂商普遍使用虚拟环境来分析恶意软件,但是很多恶意软件都使用了检测虚拟机的技术来对抗对其的分析。文章介绍了3种主要的检测虚拟环境方法,给出了相应的对抗措施来防止对虚拟环境的检测。设计了一种新的基于性能比较的检查虚拟机... 安全厂商普遍使用虚拟环境来分析恶意软件,但是很多恶意软件都使用了检测虚拟机的技术来对抗对其的分析。文章介绍了3种主要的检测虚拟环境方法,给出了相应的对抗措施来防止对虚拟环境的检测。设计了一种新的基于性能比较的检查虚拟机和模拟器的方法,实验结果表明,该方法能够有效地检测出虚拟机和模拟器,如VMware软件和模拟器Qemu。 展开更多

关键词 木马分析 虚拟机 模拟器 虚拟环境

下载PDF 职称材料

Privacy Petri Net and Privacy Leak Software 被引量：2

11

作者 范乐君 王元卓 +2 位作者 李静远 程学旗 林闯 《Journal of Computer Science & Technology》 SCIE EI CSCD 2015年第6期1318-1343,共26页

Private information leak behavior has been widely discovered in malware and suspicious applications. We refer to such software as privacy leak software （PLS）. Nowadays, PLS has become a serious and challenging probl... Private information leak behavior has been widely discovered in malware and suspicious applications. We refer to such software as privacy leak software （PLS）. Nowadays, PLS has become a serious and challenging problem to cyber security. Previous methodologies are of two categories： one focuses on the outbound network traffic of the applications; the other dives into the inside information flow of the applications. We present an abstract model called Privacy Petri Net （PPN） which is more applicable to various applications and more intuitive and vivid to users. We apply our approach to both malware and suspicious applications in real world. The experimental result shows that our approach can effectively find categories, content, procedure, destination and severity of the private information leaks for the target software. 展开更多

关键词 privacy Petri net privacy leak software privacy function private information malware analysis

原文传递

抗混淆的Android应用相似性检测方法 被引量：3

12

作者 王兆国 李城龙 +1 位作者 关毅 薛一波 《华中科技大学学报（自然科学版）》 EI CAS CSCD 北大核心 2016年第3期60-64,76,共6页

为了对抗混淆问题,更好地应对相似性检测需求,基于抗混淆的7种应用代码特征,以及抗混淆的音频和图片文件特征,提出一种新型的抗混淆相似性检测和评估方法.并基于该方法实现了可满足大数据分析环境的原型系统.通过该系统对1 259款恶意应... 为了对抗混淆问题,更好地应对相似性检测需求,基于抗混淆的7种应用代码特征,以及抗混淆的音频和图片文件特征,提出一种新型的抗混淆相似性检测和评估方法.并基于该方法实现了可满足大数据分析环境的原型系统.通过该系统对1 259款恶意应用和12个应用商店的288款应用进行分析,结果表明:该方法可有效对抗混淆攻击,完成同源性分析,依据同源性分析结果可对零日恶意应用进行识别.实验证明该方法可有效对抗代码混淆给相似性检测带来的问题,特征选取具有全局性,效果优于同类方法. 展开更多

关键词 ANDROID应用 抗混淆特征 相似性检测 恶意软件分析 声纹特征 代码特征

原文传递

动态指令流差分分析在恶意软件分析中的应用 被引量：2

13

作者 孙明 谷大武 +1 位作者 李卷孺 罗宇皓 《计算机应用研究》 CSCD 北大核心 2012年第2期658-660,663,共4页

针对静态分析方法已不能满足安全分析的需求,而传统的动态分析技术不能快速定位关键信息,且分析效率不高,提出了一种动态指令流差分分析技术,描述了差分分析模型和分析方法。该分析技术能够高速有效地分析恶意软件的关键数据,识别加密算... 针对静态分析方法已不能满足安全分析的需求,而传统的动态分析技术不能快速定位关键信息,且分析效率不高,提出了一种动态指令流差分分析技术,描述了差分分析模型和分析方法。该分析技术能够高速有效地分析恶意软件的关键数据,识别加密算法,分析混淆代码的功能模块和数据扩散情况。通过实验对其可行性和高效性进行了验证。 展开更多

关键词 恶意软件分析 动态指令流 差分分析 数据流

下载PDF 职称材料

基于渐进扩展的二进制程序数据流分析方法 被引量：1

14

作者 潘家晔 庄毅 孙炳林 《软件学报》 EI CSCD 北大核心 2022年第9期3249-3270,共22页

二进制程序分析技术广泛应用于软件的安全性评估,恶意代码分析等领域.动态分析技术能够准确体现程序真实的运行状态,但面临目标程序运行负载过高、难以深入了解内部结构信息等挑战.提出一种基于渐进扩展的二进制程序数据流分析方法.方... 二进制程序分析技术广泛应用于软件的安全性评估,恶意代码分析等领域.动态分析技术能够准确体现程序真实的运行状态,但面临目标程序运行负载过高、难以深入了解内部结构信息等挑战.提出一种基于渐进扩展的二进制程序数据流分析方法.方法旨在充分利用在线数据流分析的能力,在局部细粒度分析的基础上逐渐扩展分析范围,从而使分析能够覆盖整个目标程序.通过设计的分治策略,可降低对目标程序运行时的性能影响,从而可使对延迟敏感的目标代码段能成功地执行.并在此基础上,进一步提出基于内存引用关系的函数参数相关性分析方法,从函数调用层面获取数据流传递信息,可辅助恢复参数的内部结构信息.通过对大量真实案例进行研究和实验,验证了所提出方法的可行性与有效性,在降低对目标程序影响的同时未引入显著的额外分析开销,能够用于实际环境下二进制程序的分析. 展开更多

关键词 二进制程序 数据流分析 污点跟踪 恶意代码 逆向分析

下载PDF 职称材料

恶意计算机程序基因形式化研究

15

作者 丁建伟 陈周国 刘义铭 《信息技术与网络安全》 2019年第11期35-40,共6页

随着互联网的爆发式发展,恶意计算机程序也呈现快速增长趋势。针对恶意计算机程序加壳、加密、混淆等复用手段,传统的恶意计算机程序检测手段越来越费时费力。针对日益增长的恶意计算机程序变种的检测,因受到生物基因检测的启发,从恶意... 随着互联网的爆发式发展,恶意计算机程序也呈现快速增长趋势。针对恶意计算机程序加壳、加密、混淆等复用手段,传统的恶意计算机程序检测手段越来越费时费力。针对日益增长的恶意计算机程序变种的检测,因受到生物基因检测的启发,从恶意计算机程序的汇编执行代码指令出发,研究恶意计算机程序基因的形式化表达,提出了基于恶意计算机程序基因的通用萃取模型。通过采集的1 000例恶意计算机程序样本进行对比实验,实验结果表明本文提出的恶意计算机程序基因萃取模型优于传统的恶意计算机程序计算算法。 展开更多

关键词 恶意程序分析 程序基因 程序基因形式化建模

下载PDF 职称材料

一种恶意软件行为分析系统的设计与实现 被引量：2

16

作者 杨科 凌冲 朱陈成 《计算机安全》 2012年第9期2-7,共6页

基于虚拟化技术的恶意软件行为分析是近年来出现的分析恶意软件的方法。该方法利用虚拟化平台良好的隔离性和控制力对恶意软件运行时的行为进行分析,但存在两方面的不足:一方面,现有虚拟机监视器(Virtual Machine Monitor,VMM)的设计初... 基于虚拟化技术的恶意软件行为分析是近年来出现的分析恶意软件的方法。该方法利用虚拟化平台良好的隔离性和控制力对恶意软件运行时的行为进行分析,但存在两方面的不足:一方面,现有虚拟机监视器(Virtual Machine Monitor,VMM)的设计初衷是提高虚拟化系统的通用性和高效性,并没有充分考虑虚拟化系统的透明性,导致现有的VMM很容易被恶意软件的环境感知测试所发现。为此,提出一种基于硬件辅助虚拟化技术的恶意软件行为分析系统——THVA。THVA是一个利用了安全虚拟机(SVM)、二级页表(NPT)和虚拟机自省等多种虚拟化技术完成的、专门针对恶意软件行为分析的微型VMM。实验结果表明,THVA在行为监控和反恶意软件检测方面表现良好。 展开更多

关键词 硬件辅助虚拟化 恶意软件行为分析 虚拟机自省 二级页表 外部设备访问保护

下载PDF 职称材料

恶意代码的符号执行树分析方法 被引量：1

17

作者 钟金鑫 魏更宇 +1 位作者 安靖 杨义先 《重庆大学学报（自然科学版）》 EI CAS CSCD 北大核心 2012年第2期65-70,共6页

在恶意代码分析中,动态监测虚拟环境中的恶意代码行为是一种常用的方法。但是,由于可执行的路径分支众多,极易产生路径爆炸问题,造成某些可执行路径无法被覆盖,严重影响分析的全面性。为了解决恶意代码分析中路径爆炸问题,提出了一种基... 在恶意代码分析中,动态监测虚拟环境中的恶意代码行为是一种常用的方法。但是,由于可执行的路径分支众多,极易产生路径爆炸问题,造成某些可执行路径无法被覆盖,严重影响分析的全面性。为了解决恶意代码分析中路径爆炸问题,提出了一种基于符号执行树的恶意代码分析方法。通过构造符号执行树,引入汇聚节点,对恶意代码的执行路径进行约束求解,减少分析路径,从而缓解路径爆炸的影响,提高分析的全面性。恶意代码样本分析的实验表明,该方法能够有效地提升分析效率,同时拥有较小的时间复杂度。 展开更多

关键词 符号执行 路径爆炸 恶意代码分析 汇聚节点 二进制程序分析

下载PDF 职称材料

“逆向分析核心技术”课程优化方案研究

18

作者 赵北庚 《辽宁警察学院学报》 2021年第3期112-116,共5页

"逆向分析核心技术"课程是中国刑事警察学院网络安全与执法专业的选修课,旨在培养学生利用"逆向分析"技术对没有源代码的恶意软件程序进行分析取证的能力。为保障课程的持续化建设,将新案例与现有课程内容有效融合... "逆向分析核心技术"课程是中国刑事警察学院网络安全与执法专业的选修课,旨在培养学生利用"逆向分析"技术对没有源代码的恶意软件程序进行分析取证的能力。为保障课程的持续化建设,将新案例与现有课程内容有效融合,解决原有课程内容与恶意软件分析领域新动态脱节问题,提出了基于案例库的"逆向分析核心技术"课程优化方案,构建易维护、可扩展的恶意软件案例库,并将之与课程知识体系有效结合。所提出的课程优化方案对相关专业课程内容优化与持续性建设研究有积极贡献和参考价值。 展开更多

关键词 逆向分析 恶意软件分析 课程建设 公安教育 案例库

下载PDF 职称材料

逆向分析技术在电子数据司法鉴定中的应用

19

作者 沙晶 钱伟 蔡立明 《电信科学》 北大核心 2010年第S2期61-65,共5页

电子数据司法鉴定需要确定破坏性程序(如木马)的行为、窃取信息的发送方向、传播机理。而软件逆向分析通过对目标程序"反编译"或"反汇编"的方法,分析目标程序的功能、结构、处理流程。本文介绍了软件逆向分析的基... 电子数据司法鉴定需要确定破坏性程序(如木马)的行为、窃取信息的发送方向、传播机理。而软件逆向分析通过对目标程序"反编译"或"反汇编"的方法,分析目标程序的功能、结构、处理流程。本文介绍了软件逆向分析的基本概念和常用工具以及软件逆向分析的基本方法,并用实例讲述了软件逆向分析在电子数据司法鉴定中的应用。 展开更多

关键词 电子数据司法鉴定 软件逆向分析 破坏性程序行为分析

下载PDF 职称材料

基于“In-VM”思想的内核恶意代码行为分析方法

20

作者 马珂 刘任任 刘新 《计算技术与自动化》 2014年第3期105-109,共5页

随着互联网的高速发展,网络安全威胁也越来越严重,针对恶意代码的分析、检测逐渐成为网络安全研究的热点。恶意代码行为分析有助于提取恶意代码特征,是检测恶意代码的前提,但是当前自动化的行为捕获方法存在难以分析内核模块的缺陷,本... 随着互联网的高速发展,网络安全威胁也越来越严重,针对恶意代码的分析、检测逐渐成为网络安全研究的热点。恶意代码行为分析有助于提取恶意代码特征,是检测恶意代码的前提,但是当前自动化的行为捕获方法存在难以分析内核模块的缺陷,本文针对该缺陷,利用虚拟机的隔离特点,提出了一种基于"In-VM"思想的内核模块恶意行为分析方法,实验表明该方法能够分析内核模块的系统函数调用和内核数据操作行为。 展开更多

关键词 网络安全 虚拟机 恶意代码分析 内核模块

下载PDF 职称材料