惡意代碼分析與檢測

惡意代碼分析與檢測主講人：信安二班張沛然1，背景及現(xiàn)狀2，分析與檢測的方法3，分析與檢測常用工具4，分析與檢測發(fā)展方向主要內(nèi)容背景及現(xiàn)狀

互聯(lián)網(wǎng)的開放性給人們帶來了便利，也加快了惡意代碼的傳播，特別是人們可以直接從網(wǎng)站獲得惡意代碼源碼或通過網(wǎng)絡(luò)交流代碼。因此很多編程愛好者把自己編寫的惡意代碼放在網(wǎng)上公開討論，發(fā)布自己的研究成果，直接推動了惡意代碼編寫技術(shù)發(fā)展。所以目前網(wǎng)上流行的惡意代碼及其變種層出不窮，攻擊特點多樣化。分析與檢測方法

分為靜態(tài)分析法與動態(tài)分析法兩種

靜：是指在不執(zhí)行二進(jìn)制程序的條件下進(jìn)行分析，如反匯編分析，源代碼分析，二進(jìn)制統(tǒng)計分析，反編譯等等，屬于逆向工程分析法

動：是指惡意代碼執(zhí)行的情況下利用程序調(diào)情況下，利用程序調(diào)試工具對惡意代碼實時跟蹤和觀察，確定惡意代碼的工作過程，對靜結(jié)果進(jìn)行驗證靜態(tài)分析法

分析是指分析人員借助調(diào)試器來對惡意代碼樣本進(jìn)行反匯編，從反匯編出來的程序清單上根據(jù)匯編指令碼和提示信息著手分析

分析

在擁有二進(jìn)制程序的源代碼的前提下，通過分析源代碼來理解程序的功能，流程，邏輯判定以及程序的企圖等。

反編譯分析

是指經(jīng)過優(yōu)化的機(jī)器代碼恢復(fù)到源代碼形式，再對源代碼進(jìn)行程序執(zhí)行流程的分析動態(tài)分析法

系統(tǒng)調(diào)用行為分析方法

正常行為分析常被應(yīng)用于異常檢測之中，是對程序的正常行為輪廓進(jìn)行分析和表示，為程序建立一個安全行為庫，當(dāng)被檢測程序的實際行為與安全行為庫的正常行為不一致或者存在差異時，即認(rèn)為該程序中有一個異常行為，存在潛在的惡意性

惡意行為分析常被誤用檢測所采用，是通過對惡意程序的危害行為或攻擊行為進(jìn)行分析，從中抽取程序的惡意行為特征，以此來表示程序的惡意性動態(tài)分析法

二：啟發(fā)式掃描技術(shù)

是為了彌補被廣泛應(yīng)用的特征碼掃面技術(shù)的局限性而提出來的，其中，啟發(fā)式是指自我發(fā)現(xiàn)能力或運用某種方式或方法去判定事物的知識和技能檢測方法

基于主機(jī)的惡意代碼檢測

這種方式目前仍然被許多的反病毒軟件，惡意代碼查殺軟件所采用?；诰W(wǎng)絡(luò)的惡意代碼檢測采用數(shù)據(jù)挖掘和異常檢測技術(shù)對海量的數(shù)據(jù)進(jìn)行求精和關(guān)聯(lián)分析以檢測惡意代碼是否具有惡意性我基于主機(jī)檢測技術(shù)，特征碼的檢測技術(shù)1啟發(fā)法這種方法的思想是為病毒的特征設(shè)定一個閾值，當(dāng)掃描器分析文件時，當(dāng)文件的總權(quán)值超出了設(shè)定值就將其看作是惡意代碼設(shè)定值，就將其看作惡意代碼2行為法利用病毒的特有行為特征來監(jiān)測病毒的方法，稱為行為監(jiān)測法基于主機(jī)檢測技術(shù)

完整性控制

計算保留特征碼，在遇到可以操作時進(jìn)行比較，根據(jù)比較結(jié)果做出判斷

權(quán)限控制

通過權(quán)限控制來防御惡意代碼的技術(shù)比較典型的有，沙箱技術(shù)和安全操作系統(tǒng)箱技術(shù)

虛擬機(jī)檢測是一種新的惡意代碼檢查手段，主要指對使用代碼變形技術(shù)的惡意代碼，現(xiàn)在廣泛應(yīng)用在商用反惡意軟件上基于網(wǎng)絡(luò)檢測技術(shù)

通過異常檢測可發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)主機(jī)可能感染惡意代碼