基于結(jié)構(gòu)化指紋的惡意代碼變種分析

摘要：提出了一種基于結(jié)構(gòu)化指紋的靜態(tài)分析模型，用于輔助逆向工作者對(duì)惡意代碼及其變種進(jìn)行分析。該方法依據(jù)所提取的惡意代碼及其變種的結(jié)構(gòu)化指紋特征，在調(diào)用圖和控制流圖兩個(gè)層次對(duì)兩個(gè)文件進(jìn)行同構(gòu)比較，找出發(fā)生改變的函數(shù)以及發(fā)生改變的基本塊，從而幫助逆向工作者迅速定位和發(fā)現(xiàn)惡意代碼及其變種的不同之處，便于進(jìn)一步分析。該模型采用了結(jié)構(gòu)化特征及素?cái)?shù)乘積等方法，可以較好地對(duì)抗一些常見的代碼迷惑手段，從而識(shí)別出一些變形的代碼是等價(jià)的。

關(guān)鍵詞：惡意代碼； 變種分析； 結(jié)構(gòu)化指紋； 靜態(tài)分析

中圖分類號(hào)：TP393．08文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1001－3695(2008)03－0899－04

0引言

惡意代碼即在運(yùn)行時(shí)能夠?qū)崿F(xiàn)攻擊者的破壞意圖的軟件。惡意代碼通常包括病毒、蠕蟲、木馬、后門、rootkit以及利用軟件安全漏洞對(duì)系統(tǒng)產(chǎn)生惡意行為的程序。為了對(duì)抗惡意代碼對(duì)互聯(lián)網(wǎng)安全的威脅，安全廠商從未停止對(duì)惡意代碼的分析工作。對(duì)于逆向工作者而言，分析與識(shí)別惡意代碼及其變種是一項(xiàng)繁重的工作。

本文的相關(guān)研究涉及到兩個(gè)方面，即惡意代碼的分析和檢測(cè)及同源但不同版本的兩個(gè)可執(zhí)行文件的比較。

動(dòng)態(tài)監(jiān)測(cè)法是最常見的惡意代碼分析方法。M.E.Wagner[1]實(shí)現(xiàn)的gatekeeper系統(tǒng)采用的是一種基于運(yùn)行時(shí)動(dòng)作序列特征的惡意代碼分析模型。該模型包括可執(zhí)行惡意代碼的虛擬平臺(tái)、監(jiān)控引擎、匹配引擎和撤銷引擎四個(gè)部

分。模型首先對(duì)惡意代碼中動(dòng)作序列特征進(jìn)行大量的統(tǒng)計(jì)，為每種動(dòng)作定義一種危險(xiǎn)級(jí)別；然后在虛擬平臺(tái)上運(yùn)行受監(jiān)測(cè)軟件，記錄其動(dòng)作序列，并計(jì)算一定時(shí)間間隔內(nèi)所采樣的動(dòng)作序列的危險(xiǎn)級(jí)別之和，由此確定該軟件是否為惡意代碼。Zheng Hui[2]在測(cè)試惡意代碼時(shí)使用了類似的方法，建立了一個(gè)惡意代碼的測(cè)試溫床(test bed)。T. Sabin[3]動(dòng)態(tài)分析并統(tǒng)計(jì)了惡意代碼執(zhí)行過程中調(diào)用的系統(tǒng)函數(shù)序列，通過比較被分析的惡意代碼之間的函數(shù)參數(shù)，確定兩個(gè)惡意代碼是否為變種的惡意代碼。

由于惡意代碼的本質(zhì)特點(diǎn)，使得動(dòng)態(tài)分析惡意代碼的過程需要承擔(dān)許多不可預(yù)知的風(fēng)險(xiǎn)。安全專家通過提取惡意代碼的特征對(duì)其進(jìn)行靜態(tài)分析。MCF是加州大學(xué)戴維斯分院的R.W.Lo等人[4]開發(fā)的基于靜態(tài)提取惡意代碼特征的測(cè)試工具，通過對(duì)被測(cè)程序進(jìn)行分片，分析各個(gè)分片是否滿足惡意代碼功能模型中的定義，確定被測(cè)程序是否為惡意代碼。M.Christodorescu等人[5]提出了一種帶注釋的CFG方法來檢測(cè)惡意代碼變種的方法。2005年，C. Kruegel[6]提出利用惡意代碼的結(jié)構(gòu)化特征作為檢測(cè)程序是否為惡意代碼的依據(jù)。

將兩個(gè)可執(zhí)行文件進(jìn)行比較，找出其中不同之處，過去主要用于PBO優(yōu)化和補(bǔ)丁安全分析。T. Sabin[3]提出了基于同構(gòu)圖的指令差異比較方法。將兩個(gè)可執(zhí)行文件視做兩幅圖，其頂點(diǎn)可以是指令、常量等，而邊則是控制流圖中的邊。在比較時(shí)，從圖的入口點(diǎn)指令開始匹配，直到找到兩個(gè)圖中最相似的部分作為同構(gòu)部分，不同構(gòu)的部分則被認(rèn)為是發(fā)生了改變的部分。H．Flake[7]提出結(jié)構(gòu)化比較可執(zhí)行文件的方法，通過與語義無關(guān)的結(jié)構(gòu)化簽名信息，可以發(fā)現(xiàn)不同版本的同源文件的差異，用于輔助定位補(bǔ)丁文件中發(fā)生安全修補(bǔ)的位置。隨后，T.Dullien等人[8]繼續(xù)了H.Flake的研究，增加了一些劃分屬性，改進(jìn)了該方法。Funnywei[9]的方法增加了函數(shù)內(nèi)部結(jié)構(gòu)信息作為結(jié)構(gòu)化簽名的一部分，還改進(jìn)圖的重構(gòu)方法，解決了文獻(xiàn)[7]中不能解決的一些問題。

本文結(jié)合惡意代碼的檢測(cè)技術(shù)和可執(zhí)行文件的結(jié)構(gòu)化比較技術(shù)，提出了一種利用結(jié)構(gòu)化指紋對(duì)惡意代碼及其變種進(jìn)行分析的模型。該模型能夠自動(dòng)分析惡意代碼變種之間的差異，發(fā)現(xiàn)兩個(gè)變種之間函數(shù)的匹配關(guān)系，以及函數(shù)內(nèi)部基本塊的匹配關(guān)系，并指出匹配的函數(shù)對(duì)中，哪些函數(shù)發(fā)生了變化，哪些函數(shù)沒有發(fā)生變化，減輕了逆向工作的工作量。

1結(jié)構(gòu)化指紋

結(jié)構(gòu)化指紋就是依據(jù)結(jié)構(gòu)特征對(duì)程序進(jìn)行描述。從圖論的角度看，可以將惡意代碼（可執(zhí)行文件）看做一幅圖的圖，即由多個(gè)函數(shù)控制流圖組成的調(diào)用圖。

調(diào)用圖G=（F，E)。其中：F={f1，f2，…，fn}表示函數(shù)的集合；E表示邊的集合，如果存在(fi， fj)∈E，則表示一個(gè)或者多個(gè)從函數(shù)fi到fj的調(diào)用。函數(shù)fi∈F本身也是一個(gè)連通的有向圖，即控制流圖Gi=(Bi，Ei)。其中：Bi={bi1，bi2，…，bim}表示基本塊的集合；Ei表示邊的集合，如果存在(bik，bjn)∈E，則表示一條從基本塊bjk到bjn的控制流。

1．1節(jié)點(diǎn)的結(jié)構(gòu)化指紋

節(jié)點(diǎn)的結(jié)構(gòu)化指紋Si是一個(gè)三元組Si=(xi1，xi2，xi3)。在調(diào)用圖一級(jí)和控制流圖一級(jí)，xi1，xi2，xi3含義均不同。在調(diào)用圖一級(jí)，函數(shù)fi結(jié)構(gòu)化指紋的三個(gè)參數(shù)xi1、xi2、xi3分別指的是fi控制流圖的節(jié)點(diǎn)個(gè)數(shù)、邊的個(gè)數(shù)，以及在調(diào)用圖G中fi直接后繼的個(gè)數(shù)。在控制流圖一級(jí)，基本塊bik的結(jié)構(gòu)化指紋的三個(gè)參數(shù)xi1、xi2、xi3分別表示在控制流圖中從入口點(diǎn)到該基本塊最短路徑上塊的個(gè)數(shù)、從該基本塊到出口點(diǎn)最短路徑上塊的個(gè)數(shù)及該基本塊中call指令的個(gè)數(shù)。

1．2指紋的歐幾里德距離

兩個(gè)指紋si、sj之間的距離定義為

di， j:=|Si-Sj|:=∑3k=1|xik-xjk|21/2

定義指紋的歐幾里德距離，目的是為了刻畫兩個(gè)節(jié)點(diǎn)之間的相似度，見2.1節(jié)。

1．3指紋的優(yōu)化問題

在編譯代碼時(shí)使用不同的編譯器，或者使用同一個(gè)編譯器，但設(shè)置不同的編譯選項(xiàng)，所得到的文件調(diào)用圖和控制流圖有可能不同。為了消除一些由于編譯原因帶來的指紋差異情況，筆者采用了Funnywei的指紋優(yōu)化算法[9]來重新計(jì)算每個(gè)函數(shù)和基本塊的指紋信息。

2基于結(jié)構(gòu)化指紋的圖同構(gòu)比較

前面已經(jīng)分別定義了調(diào)用圖級(jí)和控制流圖級(jí)節(jié)點(diǎn)的結(jié)構(gòu)化指紋。對(duì)惡意代碼的變種進(jìn)行分析首先需要找出兩個(gè)文件中哪些地方發(fā)生了變化，哪些地方?jīng)]有發(fā)生變化。從圖論角度看，差異分析也就是找出兩幅圖中的最大同構(gòu)子圖，不同構(gòu)的部分即發(fā)生變化的部分。

由于惡意代碼文件是“圖的圖”，存在兩個(gè)層次的同構(gòu)：a)在調(diào)用圖級(jí)，以函數(shù)為節(jié)點(diǎn)，找出其中的最大同構(gòu)子圖；b)將第一個(gè)層次中同構(gòu)匹配的節(jié)點(diǎn)（即函數(shù)）在控制流圖級(jí)進(jìn)行同構(gòu)比較，以基本塊為節(jié)點(diǎn)找出發(fā)生變化的基本塊。本文中所論述的同構(gòu)與圖論中同構(gòu)的含義并不完全相同，具體見2.3節(jié)。

2．1選擇子運(yùn)算

假設(shè)圖A中節(jié)點(diǎn)集合An:={a1，a2，…，an}，圖B中節(jié)點(diǎn)集合Bm:={b1，b2，…，bm}，那么選擇子s定義為

ai∈A，s(ai，Bm):=bjif bj∈Bm，bk∈Bm， j≠k，di， j

由選擇子運(yùn)算得到的對(duì)偶(ai，bj)也被稱做固定點(diǎn)。

2．2屬性集

2．2．1屬性集的定義

屬性集∏定義了一組映射關(guān)系{π1，π2，…，πn}。πi∈∏，An中的滿足屬性πi的節(jié)點(diǎn)集合記做An′，Bm中滿足屬性πi的節(jié)點(diǎn)集合記做Bm′。為了方便，統(tǒng)一記做πi(An，Bm)→(An′，Bm′)。其中(An′，Bm′)稱做屬性對(duì)。

2．2．2屬性的選取

根據(jù)T.Dullien等人[8]和Funnywei[9]的方法，調(diào)用圖級(jí)可選取的屬性集如下：

a）函數(shù)名稱。如果兩個(gè)函數(shù)的名字相同，則將這兩個(gè)函數(shù)加入到初始的固定點(diǎn)集合中。

b）入度/出度。在有向圖中，節(jié)點(diǎn)的入度指的是節(jié)點(diǎn)的前驅(qū)個(gè)數(shù)，出度即后繼個(gè)數(shù)。該屬性將函數(shù)依據(jù)入度/出度對(duì)集合進(jìn)行劃分。

c）函數(shù)的遞歸屬性。如果函數(shù)的存在指向自身的邊則具有遞歸屬性。

d）函數(shù)中是否存在循環(huán)體。依據(jù)該屬性將函數(shù)集合劃分為存在循環(huán)和不存在循環(huán)的兩個(gè)集合。

e）字符串引用。將具有相同的字符串引用的函數(shù)劃分為一個(gè)集合。

f）函數(shù)的素?cái)?shù)乘積。對(duì)函數(shù)中出現(xiàn)的指令進(jìn)行分類，不同類型的指令對(duì)應(yīng)不同的素?cái)?shù)，則對(duì)函數(shù)中所有指令對(duì)應(yīng)的素?cái)?shù)進(jìn)行乘積，匹配的函數(shù)對(duì)一般擁有相同的素?cái)?shù)乘積結(jié)果。該屬性避開了由于指令順序的改變引起的函數(shù)誤匹配情況。T.Dullien給出了結(jié)構(gòu)化指紋素?cái)?shù)乘積的低位截取精度問題的概率，可以忽略。

g）函數(shù)的參數(shù)個(gè)數(shù)。將具有相同參數(shù)個(gè)數(shù)的函數(shù)劃分為一個(gè)集合。

控制流圖級(jí)可選取的屬性集∏如下：

a）字符串引用。如果兩個(gè)基本塊具有相同的字符串引用，那么這兩個(gè)基本塊匹配的可能性較大。

b）素?cái)?shù)乘積。如果兩個(gè)基本塊具有相同的素?cái)?shù)乘積，那么這兩個(gè)基本塊的指令集合是相同的。

c）自循環(huán)。自循環(huán)指的是基本塊就是自身的一個(gè)后繼。

如果兩個(gè)基本塊都具有自循環(huán)屬性，那么這兩個(gè)基本塊有可能是匹配的。

d）入度/出度。與調(diào)用圖級(jí)的入度/出度含義相同，只不過節(jié)點(diǎn)換成了控制流圖級(jí)的基本塊。

2．3結(jié)構(gòu)化指紋的同構(gòu)定義

圖同構(gòu)定義為兩個(gè)圖，即G=(V(G)，E(G))與H=(V(H)，E(H))。若存在兩個(gè)一一映射α:V(G)→V(H)，β:E(G)→E(H)，使得對(duì)任意e=(u，v)∈E(G)都有(α(u)，α(v))∈E(H)且β(e)=(α(u)，α(v))，則稱圖G與H同構(gòu)，記為GH。

這里所說的結(jié)構(gòu)化指紋的同構(gòu)與圖論中的同構(gòu)不同。結(jié)構(gòu)化指紋的同構(gòu)指的是，對(duì)于圖An=(V(A)，E(A))與Bm=(V(B)，E(B))，如果An·Bm，表示存在節(jié)點(diǎn)的一一映射關(guān)系α:V(A)→V(B)，且u∈V(A)，一定πi∈∏，πi(V(A)，V(B))→(V′(A)，V′(B))，使得α(u)=s(u，V′(B))，即同構(gòu)圖中對(duì)應(yīng)節(jié)點(diǎn)均滿足節(jié)點(diǎn)屬性集中某屬性，且由選擇子運(yùn)算從滿足該屬性的節(jié)點(diǎn)集中惟一確定。

2．4基于結(jié)構(gòu)化指紋的同構(gòu)比較算法

依據(jù)該定義，尋找兩個(gè)圖中的最大同構(gòu)子圖的過程如下：

a)初始固定點(diǎn)的計(jì)算。

該步驟完成兩個(gè)有向圖同構(gòu)比較的初始步驟：確定同構(gòu)比較的出發(fā)點(diǎn)。給定選擇子s和屬性集∏，得到初始化固定點(diǎn)映射p1:=An→Bm的算法可以描述為

for π∈∏ do

π(An，Bm) → (An′，Bm′)

for x∈An′ do

p1(x) → s(x，Bm′)

end

end

b)固定點(diǎn)的傳播。

得到初始的固定點(diǎn)映射關(guān)系，根據(jù)節(jié)點(diǎn)的前驅(qū)、后繼關(guān)系，由固定點(diǎn)開始不斷擴(kuò)展兩個(gè)有向圖的同構(gòu)子圖。

為了方便對(duì)算法的描述，先定義兩個(gè)函數(shù)up和down。

up: G→V(G)， down: G→V(G)。其中：G表示調(diào)用圖或控制流圖；V(G)表示G的冪集。Up函數(shù)將G中給定節(jié)點(diǎn)Gi映射到其所有直接前驅(qū)節(jié)點(diǎn)組成的集合；down函數(shù)將G中給定節(jié)點(diǎn)Gi映射為其所有直接后繼節(jié)點(diǎn)組成的集合。算法描述如下：

輸入: pn-1，s，A，B

輸出: pn

S←{x∈A|pn-1(x)≠};

for x∈S S do

P ← up(x)

K ← up(pn-1(x));

for y∈P do

if s(y，k)≠ then

define pn(y) → s(y，K)

end

end

end

2．5抗代碼迷惑性分析

惡意代碼的變種為了欺騙基于簽名匹配的殺毒軟件，會(huì)在原來的基礎(chǔ)上作一些代碼迷惑。常用的代碼迷惑技術(shù)如下：

a)插入垃圾指令。它

是在沒有改變程序行為的基礎(chǔ)上，在程序中插入額外的代碼。最簡單的例子就是插入一串NOP指令。更多的是構(gòu)造一個(gè)代碼序列，修改程序的狀態(tài)，然后立即恢復(fù)回來。這樣做的目的通常是為了欺騙基于簽名匹配的殺毒軟件。死代碼的檢測(cè)和刪除問題是不可判定的[5]。

如果插入的垃圾指令不改變程序的控制流結(jié)構(gòu)，就不會(huì)影響函數(shù)和基本塊的結(jié)構(gòu)化指紋，即不會(huì)對(duì)本文的分析結(jié)果產(chǎn)生影響；如果插入的垃圾指令影響了結(jié)構(gòu)化指紋，但經(jīng)優(yōu)化算法[9]的優(yōu)化，與插入垃圾指令前的結(jié)構(gòu)化指紋相同，那么也不會(huì)對(duì)分析結(jié)果有任何影響。

b)寄存器重分配。

在一定的活躍區(qū)間內(nèi)，使用一個(gè)寄存器替換另一個(gè)寄存器。該方法僅僅改變了寄存器的名字，對(duì)于程序的行為沒有任何影響。使用寄存器重分配的目的是為了迷惑基于簽名匹配的殺毒軟件。由于寄存器重分配不影響函數(shù)的控制流圖和調(diào)用圖，即不影響代碼的結(jié)構(gòu)化指紋，對(duì)本文的分析結(jié)果沒有任何影響。

c)等價(jià)指令/指令序列替換。

該方法使用一個(gè)等價(jià)指令序列來替換已有的一段指令序列。通常情況下，為了能夠處理該種迷惑方法，分析工具均會(huì)維護(hù)一個(gè)大的等價(jià)指令序列的字典[5]。如果等價(jià)指令/指令序列沒有改變程序的控制流圖，那么對(duì)本文的分析結(jié)果也沒有什么影響。

d)指令重排序。

由于指令重排序不影響寄存器重分配代碼內(nèi)在的結(jié)構(gòu)化指紋，對(duì)本文的工具沒有任何影響。

3惡意代碼變種分析模型

3．1模型的提出

基于結(jié)構(gòu)化指紋的惡意代碼變種分析模型，是一種自動(dòng)化靜態(tài)分析惡意代碼變種模型，主要用于輔助逆向工作者對(duì)惡意代碼變種。該模型包含三個(gè)部分，即變種靜態(tài)分析、結(jié)果顯示和人工校正。其中變種靜態(tài)分析部分是模型的核心模塊。

模型的工作流程如下：首先，指紋分析模塊對(duì)用戶輸入的兩個(gè)文件進(jìn)行分析，生成相應(yīng)的指紋信息；然后同構(gòu)比較模塊，將兩個(gè)指紋信息進(jìn)行調(diào)用圖級(jí)和控制流圖級(jí)的同構(gòu)比較，分析結(jié)果由結(jié)果顯示模塊呈現(xiàn)給用戶。如果用戶發(fā)現(xiàn)分析結(jié)果中存在不正確的地方還可以通過人工校正模塊進(jìn)行修正。

圖1基于結(jié)構(gòu)化指紋的惡意代碼變種分析模型

3．2變種靜態(tài)分析

3．2．1結(jié)構(gòu)化指紋分析與生成

該模塊的功能是對(duì)所輸入的病毒A和變種B兩個(gè)文件分別進(jìn)行分析并生成其指紋特征。該模塊的輸入是兩個(gè)文件，輸出是兩個(gè)文件的調(diào)用圖、控制流圖以及結(jié)構(gòu)化指紋。

具體步驟如下：

a）構(gòu)造每個(gè)可執(zhí)行文件的調(diào)用圖和控制流圖。

b）在調(diào)用圖一級(jí)，生成函數(shù)節(jié)點(diǎn)的結(jié)構(gòu)化指紋。

c）在控制流圖一級(jí)，生成基本塊節(jié)點(diǎn)的結(jié)構(gòu)化指紋。

在實(shí)現(xiàn)中，該模塊是以IDA PRO的插件形式實(shí)現(xiàn)的。這是因?yàn)椋琁DA PRO提供了較為強(qiáng)大的反匯編和分析功能。

3．2．2同構(gòu)比較

依據(jù)結(jié)構(gòu)化指紋分析與生成模塊所產(chǎn)生的結(jié)構(gòu)化指紋，在調(diào)用圖和控制流圖級(jí)采用2.2.2節(jié)中的算法進(jìn)行比較。具體步驟如下：

a）在調(diào)用圖一級(jí)進(jìn)行同構(gòu)比較，找出兩個(gè)調(diào)用圖之間匹配的最大同構(gòu)子圖，即找出兩個(gè)文件中哪些函數(shù)發(fā)生了改變，哪些函數(shù)沒有發(fā)生改變。

b）對(duì)于發(fā)生了改變的函數(shù)在控制流圖一級(jí)進(jìn)行同構(gòu)比較，找出哪些基本塊發(fā)生了改變。

3．2．3結(jié)果顯示

1）調(diào)用圖級(jí)比較結(jié)果顯示

調(diào)用圖級(jí)的分析結(jié)果按照匹配的函數(shù)（即固定點(diǎn)）、病毒A中未匹配的函數(shù)、變種B中未匹配的函數(shù)列表來顯示。圖2是對(duì)振蕩波病毒（Sasser）分析的結(jié)果。

圖2調(diào)用圖級(jí)比較結(jié)果顯示

b）控制流圖級(jí)比較結(jié)果顯示

對(duì)調(diào)用圖中的固定點(diǎn)（即匹配函數(shù)對(duì)）進(jìn)行控制流圖級(jí)的比較，結(jié)果顯示如圖3所示。其中：暗色的節(jié)點(diǎn)表示沒有發(fā)生改變的基本塊；白色節(jié)點(diǎn)對(duì)應(yīng)發(fā)生了改變的基本塊。

圖3控制流圖級(jí)比較結(jié)果顯示

3．2．4人工校正

提供人工校正的原因是在自動(dòng)化分析過程中，并不能保證所有函數(shù)都進(jìn)行了正確的匹配，所以允許對(duì)結(jié)果進(jìn)行人工校正。人工校正后，固定點(diǎn)發(fā)生了變化，可能需要重新進(jìn)行固定點(diǎn)的傳播。因此在人工校正后，提供自動(dòng)的重新進(jìn)行固定點(diǎn)傳播。Funnywei[9]提出了可以增加啟發(fā)式匹配的方法來發(fā)現(xiàn)在固定點(diǎn)初始化和傳播過程中可能出現(xiàn)的錯(cuò)誤匹配關(guān)系。

4實(shí)驗(yàn)結(jié)果

依據(jù)該模型，本文實(shí)現(xiàn)了MVA（malicious variants analyser）原型系統(tǒng)，并對(duì)曾經(jīng)影響較大的WelChia、尼姆達(dá)、振蕩波等病毒進(jìn)行了分析。實(shí)驗(yàn)結(jié)果如表1所示。

依據(jù)該實(shí)驗(yàn)結(jié)果可以看出，WelChia.I與WelChia.h變化不大，僅有4個(gè)函數(shù)發(fā)生了變化；Nimda.b和Nimda.d變種的變化較多，有33個(gè)函數(shù)，而且Nimda.b比Nimda.d的函數(shù)多5個(gè)；Sasser.c與Sasser.b一共有85個(gè)函數(shù)匹配，只有1個(gè)函數(shù)發(fā)生了改變，而且Sasser.c比Sasser.b多5個(gè)函數(shù)。

5下一步工作

由于可執(zhí)行代碼中存在著大量的間接調(diào)用和跳轉(zhuǎn)，本文構(gòu)造的調(diào)用圖和控制流圖是不完整的，基于結(jié)構(gòu)化指紋的圖同構(gòu)比較的分析結(jié)果也會(huì)受到一定的影響。下一步需要加入數(shù)據(jù)流分析，以便構(gòu)造更加完整的調(diào)用圖和控制流圖。筆者計(jì)劃在目前分析模型的基礎(chǔ)上引入語義級(jí)的惡意代碼變種分析技術(shù)，用于提取惡意代碼帶注釋的CFG簽名。

參考文獻(xiàn)：

[1]WAGNER M E.Behavior oriented detection of malicious code at runtime[D]. Florida:Florida Institute of Technology，2004.

[2]ZHENG Hui. Analysis of malicious code for phishing[EB/OL].(2004).http://worm.ccert.edu.cn/doc/spark/AnalysisMaliciousCodeForPhishing.pdf.

[3]SABIN T.Comparing binaries with graph isomorphisms[EB/OL].(2003).http://razor.bindview.com/publish/papers/comparingbinaries.html.

[4]LO R W， LEVITT K N，OLSSON R A.MCF: a malicious code filter[J]. Computers and Security， 1995，14(6):541－566.

[5]CHRISTODORESCU M，JHA S.Static analysis of executables to detect malicious patterns[C]//Proc of the 12th Usenix Security Symposium， USENIX Association.Washington DC:[s.n.]，2003:169186.

[6]KRUEGEL C.Behavioral and structural properties ofmalicious code[EB/OL].(2005).http://www.auto tuwien.ac.at/~chris/research/doc/malware05_behavior.pdf.

[7]FLAKE H. Structural comparison of executable objects[C]//Proc of IEEE Conference on Detection of Intrusions and Malware Vulnerability Assessment.Dortmund: Lecture Notes in Informa￣tics，2004:161173. [8]DULLIEN T， ROLLES R.Graphbased comparison of executable objects[EB/OL].(2005－06).http: //www.sabre security.com/files/BinDiffSSTIC05.pdf.

[9]Funnywei.結(jié)構(gòu)化簽名和簽名的結(jié)構(gòu)化[EB/OL].(2005). http://www.xfocus.net/projects/xcon/2005/xcon_funnywei.pdf.

“本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文”