惡意程序分析是防范惡意軟件攻擊的重要步驟,動態(tài)二進(jìn)制分析作為一種最常見的程序分析技術(shù),通常需要依賴于程序的運(yùn)行時信息,而程序的數(shù)據(jù)流就包括了程序運(yùn)行時眾多的有用信息�，F(xiàn)有的數(shù)據(jù)流跟蹤系統(tǒng)中,分析者通常將惡意軟件置于軟件模擬器下運(yùn)行,使用插樁的方式分析全系統(tǒng),但整體的開銷非常大,效率非常低,分析的透明性難以得到保障。針對這些問題,提出了一種高效的進(jìn)程級數(shù)據(jù)流跟蹤方法。首先,結(jié)合開源模擬器QEMU用戶態(tài)TCG（Tiny Code Generator）執(zhí)行引擎效率低但易于插樁分析和內(nèi)核態(tài)KVM不易于控制但執(zhí)行效率高的特點,引入了一種動態(tài)KVM/TCG執(zhí)行引擎切換系統(tǒng),將惡意軟件鏡像置于TCG引擎下執(zhí)行,系統(tǒng)其余部分置于KVM引擎下執(zhí)行,充分發(fā)揮兩種引擎的優(yōu)勢。其次,實現(xiàn)了惡意軟件在TCG執(zhí)行時將客戶機(jī)指令轉(zhuǎn)換成LLVM中間語言,并基于該中間語言進(jìn)行指令級插樁傳播污點。當(dāng)惡意程序進(jìn)行部分外部API調(diào)用時,停止指令級插樁傳播,設(shè)計補(bǔ)丁使用API參數(shù)和語義分析的方式進(jìn)行函數(shù)級污點傳播,這樣就能在損失少量污點跟蹤信息的情況下,極大地降低污點跟蹤的開銷。然后,針對LLVM中間語言執(zhí)行效率低的特點,設(shè)計... 

【文章來源】：華中科技大學(xué)湖北省 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：55 頁

【學(xué)位級別】：碩士

【文章目錄】：
摘要
Abstract
1 緒論
    1.1 研究背景與意義
    1.2 國內(nèi)外研究現(xiàn)狀
    1.3 相關(guān)技術(shù)概述
    1.4 本文主要研究內(nèi)容
    1.5 論文組織結(jié)構(gòu)
2 數(shù)據(jù)流跟蹤系統(tǒng)的設(shè)計
    2.1 總體設(shè)計
    2.2 動態(tài)KVM/TCG切換設(shè)計
    2.3 污點數(shù)據(jù)結(jié)構(gòu)的設(shè)計
    2.4 LLVM IR插樁和指令級污點傳播
    2.5 函數(shù)級污點傳播
    2.6 本章小結(jié)
3 數(shù)據(jù)流跟蹤系統(tǒng)的實現(xiàn)
    3.1 動態(tài)Qemu/KVM切換實現(xiàn)
    3.2 污點插樁實現(xiàn)
    3.3 本章小結(jié)
4 數(shù)據(jù)流跟蹤測試和實驗結(jié)果分析
    4.1 開發(fā)工具及運(yùn)行環(huán)境
    4.2 對比實驗和結(jié)果
    4.3 實驗分析
    4.4 本章小結(jié)
5 總結(jié)與展望
    5.1 總結(jié)
    5.2 展望
致謝
參考文獻(xiàn)


【參考文獻(xiàn)】：
期刊論文
[1]二進(jìn)制程序動態(tài)污點分析技術(shù)研究綜述[J]. 宋錚,王永劍,金波,林九川.  信息網(wǎng)絡(luò)安全. 2016(03)
[2]基于類型的動態(tài)污點分析技術(shù)[J]. 諸葛建偉,陳力波,田繁,鮑由之,陸恂.  清華大學(xué)學(xué)報(自然科學(xué)版). 2012(10)
[3]基于動態(tài)污點分析的惡意代碼通信協(xié)議逆向分析方法[J]. 劉豫,王明華,蘇璞睿,馮登國.  電子學(xué)報. 2012(04)

碩士論文
[1]基于動態(tài)污點分析的惡意代碼行為依賴圖挖掘技術(shù)的研究與實現(xiàn)[D]. 尤作賽.國防科學(xué)技術(shù)大學(xué) 2012
[2]基于動態(tài)污點分析的網(wǎng)絡(luò)程序漏洞挖掘方法[D]. 吳小偉.華中科技大學(xué) 2012



本文編號：3036465