计算机技术与发展
計算機技術與髮展
계산궤기술여발전
COMPUTER TECHNOLOGY AND DEVELOPMENT
2015年
8期
166-169
,共4页
陈珂%柯文德%王爱国%郑捷%张良均
陳珂%柯文德%王愛國%鄭捷%張良均
진가%가문덕%왕애국%정첩%장량균
虚拟执行%恶意程序检测%沙箱%行为分析
虛擬執行%噁意程序檢測%沙箱%行為分析
허의집행%악의정서검측%사상%행위분석
virtual execution%malicious executables detection%sandbox%behavior analysis
随着恶意程序的快速增多,常用的分析技术遇到了瓶颈。文中总结与分析了国内外现有主流的恶意程序检测方法,运用了底层的多种HOOK技术,在底层驱动中利用重定向技术从文件、注册表、网络、进程、线程、窗口消息等多个方面,设计与构造了改进的混合型沙盒和行为分析器。沙盒可保证程序在运行中不会破坏真实的系统,可提高分析效率,可连续分析,不需要还原环境。行为分析器通过记录程序的函数调用序列,使用风险等级来判断程序的风险程度,运用了独创的行为分析算法来计算程序的风险级别,通过自定义的规则自动判断程序的恶意程度,同时生成分析报告,达到自动化分析的目的。经过测试,说明该系统达到了预期功能,能有效地保护真实系统,同时也能准确获取到恶意程序的行为,其分析结果是有效的。
隨著噁意程序的快速增多,常用的分析技術遇到瞭瓶頸。文中總結與分析瞭國內外現有主流的噁意程序檢測方法,運用瞭底層的多種HOOK技術,在底層驅動中利用重定嚮技術從文件、註冊錶、網絡、進程、線程、窗口消息等多箇方麵,設計與構造瞭改進的混閤型沙盒和行為分析器。沙盒可保證程序在運行中不會破壞真實的繫統,可提高分析效率,可連續分析,不需要還原環境。行為分析器通過記錄程序的函數調用序列,使用風險等級來判斷程序的風險程度,運用瞭獨創的行為分析算法來計算程序的風險級彆,通過自定義的規則自動判斷程序的噁意程度,同時生成分析報告,達到自動化分析的目的。經過測試,說明該繫統達到瞭預期功能,能有效地保護真實繫統,同時也能準確穫取到噁意程序的行為,其分析結果是有效的。
수착악의정서적쾌속증다,상용적분석기술우도료병경。문중총결여분석료국내외현유주류적악의정서검측방법,운용료저층적다충HOOK기술,재저층구동중이용중정향기술종문건、주책표、망락、진정、선정、창구소식등다개방면,설계여구조료개진적혼합형사합화행위분석기。사합가보증정서재운행중불회파배진실적계통,가제고분석효솔,가련속분석,불수요환원배경。행위분석기통과기록정서적함수조용서렬,사용풍험등급래판단정서적풍험정도,운용료독창적행위분석산법래계산정서적풍험급별,통과자정의적규칙자동판단정서적악의정도,동시생성분석보고,체도자동화분석적목적。경과측시,설명해계통체도료예기공능,능유효지보호진실계통,동시야능준학획취도악의정서적행위,기분석결과시유효적。
With the rapid increase of malicious programs,common analysis technology has encountered bottleneck. In this paper,summa-rize and analyze the domestic and foreign existing mainstream malware detection method,using the underlying multiple HOOK technolo-gy,utilizing the redirection technology in the underlying driver from a file,registry,network,process,thread,window message and so on, design and construct an improved sandbox analyzer and behavior. Sandbox ensures application won’ t destroy the real system in opera-tion,which can improve the efficiency of analysis,can be used to analyze continuously,do not need to restore the environment. Behavior analyzer by recording the program sequence of function calls,using risk level to judge the risk degree of the program,using the original behavior analysis algorithm to calculate the risk level of the program,through the custom rules automatically judge the malicious degree of the program,at the same time generate analysis report,to achieve the purpose of automatic analysis. After testing,the system runs stable and extensible,the analysis result is valid.
