基于“In—VM”思想的內核惡意代碼行為分析方法

馬珂+劉任任+劉新

收稿日期：2013-05-28

基金項目：湖南省教育廳產業化項目（11CY018）

作者簡介：馬 珂（1984—），女，湖南長沙人，碩士研究生，研究方向：計算機網絡，網絡安全。

通訊聯系人，E-mail：70757082@qq.com

文章編號：1003-6199（2014）03-0105-05

摘 要：隨著互聯網的高速發展，網絡安全威脅也越來越嚴重，針對惡意代碼的分析、檢測逐漸成為網絡安全研究的熱點。惡意代碼行為分析有助于提取惡意代碼特征，是檢測惡意代碼的前提，但是當前自動化的行為捕獲方法存在難以分析內核模塊的缺陷，本文針對該缺陷，利用虛擬機的隔離特點，提出了一種基于“In-VM”思想的內核模塊惡意行為分析方法，實驗表明該方法能夠分析內核模塊的系統函數調用和內核數據操作行為。

關鍵詞：網絡安全；虛擬機；惡意代碼分析；內核模塊

中圖分類號：TN915.08 文獻標識碼：A

Analysis of Kernel-malware Behavior Based on “In-VM”

MA Ke， LIU Ren-ren， LIU Xin

（The College of Information Engineering of Xiangtan University， Xiangtan，Hunan 411105，China）

Abstract：With the rapid development of Internet， threats of network security have become increasingly serious. Malware analysis and detection have become a hot research topic. Malware behavior analysis helps to extract the characteristics of malicious code， is the premise of detecting malicious code， but at the current level of development，the automated capture method is difficult to analyze behaviors of kernel module. In order to solve this problem， this paper proposed a kernel modules malicious behavior analysis method based on “In-VM” ， experimental results show that this method can analyze system calls and data manipulation of kernel modules .

Key words：network security； virtual machine； malware analysis； kernel module

1 前 言

互聯網的發展使得我們越來越依賴于網絡，但是，我們在享受互聯網帶來便利的同時，必須面對越來越嚴重的網絡安全問題。在政治利益或經濟利益的驅動下，網絡安全事件每年都呈上升趨勢。第26次中國互聯網絡安全狀況統計報告顯示[1]，2010年上半年，有30.9%的網民賬號或密碼被盜過，59.2%的網民在使用互聯網過程中遇到過病毒或木馬攻擊，網絡安全的問題仍然制約著中國網民深層次的網絡應用發展。

惡意代碼行為分析是檢測惡意代碼的前提，能夠為行為特征碼的提取提供直接的參考依據。當前惡意代碼行為的自動化捕獲方法存在著若干缺點[2]：首先，分析環境容易被惡意代碼檢測出來，這是因為惡意代碼通常會檢查自身的運行環境，如是否存在hook、是否處于調試狀態等；……