[发明专利]基于环境重构的恶意代码完整性分析方法

说明书

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于环境重构的恶意代码完整性分析方法。

背景技术

随着互联网的快速发展，恶意代码的种类和数量在不断增多。通常所说的恶意代码是实现攻击者不良意图的恶意软件的统称，包括病毒、蠕虫、木马、后门、僵尸、间谍软件、广告软件等，其危害主要表现在窃取用户隐私、机密文件、账号信息、破坏数据、消耗内存及硬盘空间等。据2014年赛门铁克(Symantec)的调查报告表明，恶意代码数量日益庞大，威胁日益严重，其编写、传播和利用呈现出趋利化、商业化和组织化的态势。

恶意代码攻击技术在演变过程中，为了实现精确控制完成特定操作，依据对于环境的识别结果来触发不同的行为模式，决定下一步将要执行的操作，其传播扩散、敏感数据收集、精确打击控制以及升级维护等功能的实现都与所处环境的类型和配置密切相关。面对现实世界攻击目标环境的多样性，例如操作系统类型的不同、防护机制和检测机制的差异等，恶意代码表现出的行为差异巨大。为了能够完整有效地分析出恶意代码的所有恶意行为，分析不同环境对恶意代码行为和执行过程的影响，通过动态构建合适的环境用以激发恶意代码的隐藏行为，进而对其表现出的恶意行为进行分析，我们将这一过程称为恶意代码完整性分析。

在恶意代码完整性分析领域主要存在静态分析和动态分析两种分析方法。静态分析方法不需要动态执行程序，分析时间短、效率高，而且分析过程中可以获取程序全部代码和数据，信息提取全面，但是静态分析方法也存在诸多问题：

(1) 恶意代码加壳。为了躲避杀软，增加恶意代码逆向分析的难度，恶意代码编写者常常使用加壳方法对代码实施保护。对于采用加壳保护的程序，需要进行脱壳处理之后再进行下一步分析提取工作。

(2) 动态解密类环境字符串信息的提取。恶意代码编写者为保证核心信息的安全性，将环境字符串采用加密的形式存放在程序中，只有程序动态执行到触发位置时才进行解密，使用静态分析方法无法有效提取这类字符信息，而且这类信息往往是非常关键的环境信息。

(3) 特殊编程技巧实现字符串隐藏。为了躲避查杀，欺骗恶意代码分析人员，恶意代码编写者采用特殊的编程技巧，将环境字符串存放到代码节中，通过静态分析提取字符串信息是无法提取到这类信息。

由于静态分析方法存在的诸多问题均为恶意代码完整性分析带来极大阻碍，实际分析中为了获得较好的结果大多采用动态分析方法。目前国内外开展了许多以提高路径覆盖率为目的的恶意代码多路径分析方法的研究，以期能够较为完整地分析出程序的所有行为。恶意代码多路径分析在一定程度上可以解决动态程序分析过程中执行路径单一的缺陷，但是由于路径遍历过程使用强制修改分支路径的方法，仍存在以下问题难以解决：

(1) 路径爆炸。由于多路径分析中某些路径(如：循环体中的路径)会被重复遍历，对分析系统的效率有严重影响。随着恶意代码功能越来越复杂，路径被重复执行的问题越来越普遍，对分析的性能影响越来越大。

(2) 内存泄露。多路径分析方法为了避免在恢复进程快照时出现已分配资源被释放引起句柄无效的情况，不允许代码释放已经分配的资源，例如动态分配的内存等，因此多次重复执行含有分配资源操作行为的程序路径，分配的资源会占用大量的内存，容易引起内存泄露。

(3) 容易引发程序崩溃。多路径分析中使用强制修改分支路径的方法实现代码覆盖率的提高，但是强制修改执行路径可能影响程序后续执行过程，导致程序执行时崩溃，使得正常分析无法进一步开展。

由于动态分析方法存在上述难点问题，无法全面有效地分析出复杂恶意代码的所有恶意行为，如何触发恶意代码的不同行为模式，提高动态分析的全面性仍是恶意代码动态分析中亟待解决的难点问题。

发明内容

针对现有的恶意代码多路径分析方法中存在的路径爆炸、内存泄露、分析效率低以及强制修改分支路径导致的程序崩溃等问题，本发明提出一种基于环境重构的恶意代码完整性分析方法，利用本发明可以有效解决多路径分析中存在的问题，实现恶意代码完整性分析。

本发明提出了一种基于环境重构的恶意代码完整性分析方法，使用动态二进制分析平台Pin和反编译工具IDA获取恶意代码执行过程中感知寻找的环境信息，并以获取的环境信息为基础进行恶意代码最佳执行环境的构建，最后将恶意代码投入动态构建的环境中运行实现完整性分析。

在本发明在进行恶意代码完整性分析的过程中，采用粗粒度环境数据提取与细粒度敏感环境识别相结合的方式，共同确定恶意代码隐藏行为触发所需要的执行环境，其具体执行步骤如下：