基于動(dòng)態(tài)KVM加速的數(shù)據(jù)流跟蹤研究
發(fā)布時(shí)間:2021-02-16 08:02
惡意程序分析是防范惡意軟件攻擊的重要步驟,動(dòng)態(tài)二進(jìn)制分析作為一種最常見的程序分析技術(shù),通常需要依賴于程序的運(yùn)行時(shí)信息,而程序的數(shù)據(jù)流就包括了程序運(yùn)行時(shí)眾多的有用信息。現(xiàn)有的數(shù)據(jù)流跟蹤系統(tǒng)中,分析者通常將惡意軟件置于軟件模擬器下運(yùn)行,使用插樁的方式分析全系統(tǒng),但整體的開銷非常大,效率非常低,分析的透明性難以得到保障。針對(duì)這些問(wèn)題,提出了一種高效的進(jìn)程級(jí)數(shù)據(jù)流跟蹤方法。首先,結(jié)合開源模擬器QEMU用戶態(tài)TCG(Tiny Code Generator)執(zhí)行引擎效率低但易于插樁分析和內(nèi)核態(tài)KVM不易于控制但執(zhí)行效率高的特點(diǎn),引入了一種動(dòng)態(tài)KVM/TCG執(zhí)行引擎切換系統(tǒng),將惡意軟件鏡像置于TCG引擎下執(zhí)行,系統(tǒng)其余部分置于KVM引擎下執(zhí)行,充分發(fā)揮兩種引擎的優(yōu)勢(shì)。其次,實(shí)現(xiàn)了惡意軟件在TCG執(zhí)行時(shí)將客戶機(jī)指令轉(zhuǎn)換成LLVM中間語(yǔ)言,并基于該中間語(yǔ)言進(jìn)行指令級(jí)插樁傳播污點(diǎn)。當(dāng)惡意程序進(jìn)行部分外部API調(diào)用時(shí),停止指令級(jí)插樁傳播,設(shè)計(jì)補(bǔ)丁使用API參數(shù)和語(yǔ)義分析的方式進(jìn)行函數(shù)級(jí)污點(diǎn)傳播,這樣就能在損失少量污點(diǎn)跟蹤信息的情況下,極大地降低污點(diǎn)跟蹤的開銷。然后,針對(duì)LLVM中間語(yǔ)言執(zhí)行效率低的特點(diǎn),設(shè)計(jì)...
【文章來(lái)源】:華中科技大學(xué)湖北省 211工程院校 985工程院校 教育部直屬院校
【文章頁(yè)數(shù)】:55 頁(yè)
【學(xué)位級(jí)別】:碩士
【文章目錄】:
摘要
Abstract
1 緒論
1.1 研究背景與意義
1.2 國(guó)內(nèi)外研究現(xiàn)狀
1.3 相關(guān)技術(shù)概述
1.4 本文主要研究?jī)?nèi)容
1.5 論文組織結(jié)構(gòu)
2 數(shù)據(jù)流跟蹤系統(tǒng)的設(shè)計(jì)
2.1 總體設(shè)計(jì)
2.2 動(dòng)態(tài)KVM/TCG切換設(shè)計(jì)
2.3 污點(diǎn)數(shù)據(jù)結(jié)構(gòu)的設(shè)計(jì)
2.4 LLVM IR插樁和指令級(jí)污點(diǎn)傳播
2.5 函數(shù)級(jí)污點(diǎn)傳播
2.6 本章小結(jié)
3 數(shù)據(jù)流跟蹤系統(tǒng)的實(shí)現(xiàn)
3.1 動(dòng)態(tài)Qemu/KVM切換實(shí)現(xiàn)
3.2 污點(diǎn)插樁實(shí)現(xiàn)
3.3 本章小結(jié)
4 數(shù)據(jù)流跟蹤測(cè)試和實(shí)驗(yàn)結(jié)果分析
4.1 開發(fā)工具及運(yùn)行環(huán)境
4.2 對(duì)比實(shí)驗(yàn)和結(jié)果
4.3 實(shí)驗(yàn)分析
4.4 本章小結(jié)
5 總結(jié)與展望
5.1 總結(jié)
5.2 展望
致謝
參考文獻(xiàn)
【參考文獻(xiàn)】:
期刊論文
[1]二進(jìn)制程序動(dòng)態(tài)污點(diǎn)分析技術(shù)研究綜述[J]. 宋錚,王永劍,金波,林九川. 信息網(wǎng)絡(luò)安全. 2016(03)
[2]基于類型的動(dòng)態(tài)污點(diǎn)分析技術(shù)[J]. 諸葛建偉,陳力波,田繁,鮑由之,陸恂. 清華大學(xué)學(xué)報(bào)(自然科學(xué)版). 2012(10)
[3]基于動(dòng)態(tài)污點(diǎn)分析的惡意代碼通信協(xié)議逆向分析方法[J]. 劉豫,王明華,蘇璞睿,馮登國(guó). 電子學(xué)報(bào). 2012(04)
碩士論文
[1]基于動(dòng)態(tài)污點(diǎn)分析的惡意代碼行為依賴圖挖掘技術(shù)的研究與實(shí)現(xiàn)[D]. 尤作賽.國(guó)防科學(xué)技術(shù)大學(xué) 2012
[2]基于動(dòng)態(tài)污點(diǎn)分析的網(wǎng)絡(luò)程序漏洞挖掘方法[D]. 吳小偉.華中科技大學(xué) 2012
本文編號(hào):3036465
【文章來(lái)源】:華中科技大學(xué)湖北省 211工程院校 985工程院校 教育部直屬院校
【文章頁(yè)數(shù)】:55 頁(yè)
【學(xué)位級(jí)別】:碩士
【文章目錄】:
摘要
Abstract
1 緒論
1.1 研究背景與意義
1.2 國(guó)內(nèi)外研究現(xiàn)狀
1.3 相關(guān)技術(shù)概述
1.4 本文主要研究?jī)?nèi)容
1.5 論文組織結(jié)構(gòu)
2 數(shù)據(jù)流跟蹤系統(tǒng)的設(shè)計(jì)
2.1 總體設(shè)計(jì)
2.2 動(dòng)態(tài)KVM/TCG切換設(shè)計(jì)
2.3 污點(diǎn)數(shù)據(jù)結(jié)構(gòu)的設(shè)計(jì)
2.4 LLVM IR插樁和指令級(jí)污點(diǎn)傳播
2.5 函數(shù)級(jí)污點(diǎn)傳播
2.6 本章小結(jié)
3 數(shù)據(jù)流跟蹤系統(tǒng)的實(shí)現(xiàn)
3.1 動(dòng)態(tài)Qemu/KVM切換實(shí)現(xiàn)
3.2 污點(diǎn)插樁實(shí)現(xiàn)
3.3 本章小結(jié)
4 數(shù)據(jù)流跟蹤測(cè)試和實(shí)驗(yàn)結(jié)果分析
4.1 開發(fā)工具及運(yùn)行環(huán)境
4.2 對(duì)比實(shí)驗(yàn)和結(jié)果
4.3 實(shí)驗(yàn)分析
4.4 本章小結(jié)
5 總結(jié)與展望
5.1 總結(jié)
5.2 展望
致謝
參考文獻(xiàn)
【參考文獻(xiàn)】:
期刊論文
[1]二進(jìn)制程序動(dòng)態(tài)污點(diǎn)分析技術(shù)研究綜述[J]. 宋錚,王永劍,金波,林九川. 信息網(wǎng)絡(luò)安全. 2016(03)
[2]基于類型的動(dòng)態(tài)污點(diǎn)分析技術(shù)[J]. 諸葛建偉,陳力波,田繁,鮑由之,陸恂. 清華大學(xué)學(xué)報(bào)(自然科學(xué)版). 2012(10)
[3]基于動(dòng)態(tài)污點(diǎn)分析的惡意代碼通信協(xié)議逆向分析方法[J]. 劉豫,王明華,蘇璞睿,馮登國(guó). 電子學(xué)報(bào). 2012(04)
碩士論文
[1]基于動(dòng)態(tài)污點(diǎn)分析的惡意代碼行為依賴圖挖掘技術(shù)的研究與實(shí)現(xiàn)[D]. 尤作賽.國(guó)防科學(xué)技術(shù)大學(xué) 2012
[2]基于動(dòng)態(tài)污點(diǎn)分析的網(wǎng)絡(luò)程序漏洞挖掘方法[D]. 吳小偉.華中科技大學(xué) 2012
本文編號(hào):3036465
本文鏈接:http://sikaile.net/kejilunwen/ruanjiangongchenglunwen/3036465.html
最近更新
教材專著
