一种PE文件加壳检测规则

在恶意代码自动分析系统中,对恶意样本进行文件格式检查,并判断其是否被加壳是对其进行自动分析的第一步。为了对加壳PE可执行文件实现更加准确的识别,提出一个基于文件头和部分文件内容的PE文件加壳检测规则(NFPS)。通过提取PE文件中5个方面的特征值,并按照NFPS规则进行计算,即可判定PE文件是否被加壳。经测试,其检测率高达95%以上,并支持多层壳的循环检测。     

PE文件加壳技术研究与实现

为了维护软件开发者的利益,在软件发布前利用软件保护技术对其进行加密处理已经成为软件开发环节中必不可少的一部分。利用加壳程序对软件加壳就是一种有效的保护软件的方法。常用的加壳程序都会有对应的脱壳程序,不能完全满足软件保护的需求。文章通过分析PE文件结构,研究PE文件的加载机制,设计和实现了一种PE文件加壳程序,实验结果表明其可以有效的实现加壳保护功能。     

基于带权欧拉距离的PE文件壳检测技术

越来越多的恶意软件出现在网络上。恶意软件作者通过网络将软件中的恶意代码植入用户的电脑中,从而达到诸如获得用户名与密码的非法目的。为了阻止它们对用户电脑的侵害,软件分析人员必须分析恶意软件的工作原理。但是,如果这些恶意软件加壳,那么分析它们就会变得非常困难,因此必须对他们进行脱壳。脱壳的第一步即检测这些恶意软件是否加壳。本文通过对未加壳和已经加壳的软件PE头部进行分析与比较,提出了带权欧拉距离PE文件壳检测(PDWED)算法,其中包括构造一个含有10个元素的向量,并为每个向量中每个元素分配一个权重值,计算向量的带权欧拉距离。实验结果表明,PDWED能够比较快速而又准确地检测软件是否加壳。     

PE头结构逆向分析研究

PE文件是Windows操作系统的程序文件,是恶意代码的主要攻击对象之一,PE头是PE文件的重要组成部分。本文描述了一个通过逆向分析方法研究PE头结构的实验。实验中涉及的逆向分析方法以及通过实验总结出的PE头结构对逆向分析和恶意代码研究有积极意义。     

PE文件动态加壳技术的研究与实现

对可执行文件加壳是保护软件的一种有效方法。但常用的加壳软件采用的是一种静态加壳技术,所有被加壳后的可执行文件都具有部分相同的代码,这样就增加了软件被破解的可能性,不能完全满足PE文件保护的需求。针对这一不足,在分析PE文件格式和加载机制的基础上,提出PE文件动态加壳的思想,设计和实现了一种PE文件动态加壳软件。试验结果表明其可以有效地提高PE文件的自我保护能力。     

程序自动脱壳数据采集技术研究

自动提取加壳程序隐藏的代码和数据是目前恶意代码检测技术面临的重要问题。分析了加壳程序运行的本质特征,给出了存储器监控算法和动态基本块标记算法,描述了基于QEMU仿真器的程序自动脱壳数据采集系统的设计思路。实验结果表明,该系统可以有效地提取被加壳程序的代码和数据,完整地记录程序脱壳的执行行为。     

浅析PE文件脱壳技术

如今随着大家对知识产权保护的重视,使得对于自己程序的加壳保护也变得越来越普遍。除此之外,这一技术也被广泛用于病毒和木马之中,使其不易被杀毒软件查杀。其中,PE文件的加壳尤为常见,若想对其进一步的研究,脱壳是必不可少的。本文首先介绍了PE文件结构和现阶段的加壳技术,其次阐述了脱壳原理和常见方法。     

基于模型解释的PE文件对抗性恶意代码检测

深度学习已经逐渐应用于恶意代码检测并取得了不错的效果.然而,最近的研究表明:深度学习模型自身存在不安全因素,容易遭受对抗样本攻击.在不改变恶意代码原有功能的前提下,攻击者通过对恶意代码做少量修改,可以误导恶意代码检测器做出错误的决策,造成恶意代码的漏报.为防御对抗样本攻击,已有的研究工作中最常用的方法是对抗训练.然而对抗训练方法需要生成大量对抗样本加入训练集中重新训练模型,效率较低,并且防御效果受限于训练中所使用的对抗样本生成方法.为此,提出一种PE文件格式恶意代码对抗样本检测方法,针对在程序功能无关区域添加修改的一类对抗样本攻击,利用模型解释技术提取端到端恶意代码检测模型的决策依据作为特征,进而通过异常检测方法准确识别对抗样本.该方法作为恶意代码检测模型的附加模块,不需要对原有模型做修改,相较于对抗训练等其他防御方法效率更高,且具有更强的泛化能力,能够防御多种对抗样本攻击.在真实的恶意代码数据集上进行了实验,实验结果表明,该方法能够有效防御针对端到端PE文件恶意代码检测模型的对抗样本攻击.     

PE文件中脱壳技术的研究

对PE(Portable Executable)文件进行加壳是保护软件的有效手段,但恶意程序也会通过加壳来保护自己.作为一名病毒分析师或软件安全分析员,只有先将其脱壳,才能进行彻底的分析.以Windows记事本程序为实例,首先分析了PE文件结构及其加壳原理,其次阐述了脱壳的一般步骤,然后从压缩壳和加密壳的角度,重点探讨了脱壳技术的原理和方法.最后对伪装壳和多重壳及程序自校验进行了探讨和分析.     

自动的恶意代码动态分析系统的设计与实现

现代的恶意代码采用多态和加壳等方法来隐藏自己,使得恶意代码的分析检测变得越来越困难.传统的手工分析需要耗费大量时间和人力,不能满足恶意代码分析的需要.本文设计实现的自动化恶意代码动态分析系统MwDAS,可以自动地对恶意代码样本进行快速的动态分析,通过Kernel Hooking和Filter Driver技术在内核态提取其行为特征,生成详细的分析报告.实验结果表明MwDAS可以提高恶意代码的分析效率.     

一种融合用户级和内核级拦截的主动防御方案

通过对Windows环境下程序机理的分析研究, 探索采用用户级别拦截、内核级别拦截相结合的主动防御技术实现对恶意入侵行为自动精确检测和自动识别, 保障系统和网络的安全。实验结果表明, 该技术对于未知恶意入侵及其变种的检测能力均优于单一方法和其他传统检测方法。     

基于SSDT恢复的反恶意代码技术

通过修改系统服务调度表（SSDT）,恶意代码可以避免被杀毒软件或反恶意软件清除。针对SSDT挂钩技术,通过系统文件重定位,实现基于SSDT恢复的反恶意代码技术,阐述Ntoskrnl.exe文件的重装方法和Ntoskrnl.exe文件偏移比较法。实验结果证明,该技术能使恶意代码和木马程序失效,保障系统安全。     

密码算法识别技术研究

在二进制代码中识别密码算法对于查找恶意代码,保护计算机系统安全有着重要的意义,文章分析了密码算法的静态特征码和统计特征,并介绍具体静态特征码,以及相似性判定的的统计特征识别,研究的成果可以为鉴别二进制代码中的密码算法提供重要参考。     

Unknown malcode detection and the imbalance problem

The recent growth in network usage has motivated the creation of new malicious code for various purposes. Today’s signature-based antiviruses are very accurate for known malicious code, but can not detect new malicious code. Recently, classification algorithms were used successfully for the detection of unknown malicious code. But, these studies involved a test collection with a limited size and the same malicious: benign file ratio in both the training and test sets, a situation which does not reflect real-life conditions. We present a methodology for the detection of unknown malicious code, which examines concepts from text categorization, based on n-grams extraction from the binary code and feature selection. We performed an extensive evaluation, consisting of a test collection of more than 30,000 files, in which we investigated the class imbalance problem. In real-life scenarios, the malicious file content is expected to be low, about 10% of the total files. For practical purposes, it is unclear as to what the corresponding percentage in the training set should be. Our results indicate that greater than 95% accuracy can be achieved through the use of a training set that has a malicious file content of less than 33.3%.     

基于图像纹理和卷积神经网络的恶意文件检测方法

在大数据环境下,针对传统恶意文件检测方法对经过代码变种和混淆后的恶意文件检测准确率低以及对跨平台恶意文件检测通用性弱等问题,提出一种基于图像纹理和卷积神经网络的恶意文件检测方法。首先,使用灰度图像生成算法将Android和Windows平台下可执行文件,即.dex和.exe文件,转换成相应的灰度图像;然后,通过卷积神经网络（CNN）算法自动提取这些灰度图像的纹理特征并加以学习训练,从而构建出一个恶意文件检测模型;最后,使用大量未知待检测的文件去验证模型检测准确率的高低。通过对大量的恶意样本进行实验,在Android和Windows平台下,模型检测最高准确率分别达到79.6%和97.6%,平均准确率分别约为79.3%和96.8%;与基于纹理指纹的恶意代码变种检测方法相比,基于图像纹理和卷积神经网络的恶意文件检测方法准确率提高了约20%。实验结果表明,所提方法能够有效避免人工筛选特征带来的问题,大幅提高检测的准确率和效率,成功解决跨平台检测问题,实现了一种端到端的恶意文件检测模型。     

基于多特征融合的恶意代码分类算法

针对多数恶意代码分类研究都基于家族分类和恶意、良性代码分类,而种类分类比较少的问题,提出了多特征融合的恶意代码分类算法。采用纹理图和反汇编文件提取3组特征进行融合分类研究,首先使用源文件和反汇编文件提取灰度共生矩阵特征,由n-gram算法提取操作码序列;然后采用改进型信息增益（IG）算法提取操作码特征,其次将多组特征进行标准化处理后以随机森林（RF）为分类器进行学习;最后实现了基于多特征融合的随机森林分类器。通过对九类恶意代码进行学习和测试,所提算法取得了85%的准确度,相比单一特征下的随机森林、多特征下的多层感知器和Logistic回归算法分类器,准确率更高。     

基于图标相似性分析的恶意代码检测方法

据统计，在大量的恶意代码中，有相当大的一部分属于诱骗型的恶意代码，它们通常使用与常用软件相似的图标来伪装自己，通过诱骗点击达到传播和攻击的目的。针对这类诱骗型的恶意代码，鉴于传统的基于代码和行为特征的恶意代码检测方法存在的效率低、代价高等问题，提出了一种新的恶意代码检测方法。首先，提取可移植的执行体（PE）文件图标资源信息并利用图像哈希算法进行图标相似性分析；然后，提取PE文件导入表信息并利用模糊哈希算法进行行为相似性分析；最后，采用聚类和局部敏感哈希的算法进行图标匹配，设计并实现了一个轻量级的恶意代码快速检测工具。实验结果表明，该工具对恶意代码具有很好的检测效果。     

结合局部优化匹配的Android恶意家族检测算法

近年来,飞速增长的Android恶意代码给移动安全研究带来了沉重的负担。为海量的恶意样本进行准确的家族分类对移动恶意代码的识别与演变过程研究具有极为重要的作用。基于此目的提出了一种新的基于局部结构优化分析的恶意软件家族识别与分类方法。从应用程序的反编译文件中提取函数调用图,采用基于节点相似度的迭代匹配算法来构建恶意家族特征,通过对待检测应用程序函数调用图与恶意家族特征的匹配来进行应用程序的恶意性检测与家族识别。实验结果表明,该方法较三项已有研究和Androguard工具具有更好的性能。     

Construction and evaluation of the new heuristic malware detection mechanism based on executable files static analysis

The paper presents the application justification of a new set of features collected at the stage of the static analysis of the executable files to address the problem of malicious code detection. In the course of study the following problems were solved: the development of the executable files classifier in the absence of a priori data concerning their functionality; designing the class models of uninfected files and malware during the learning process; the development of malicious code detection procedure using the neural networks mathematical apparatus and decision tree composition relating to the set of features specified on the basis of the executable files static analysis. The paper contains the results of experimental evaluation of the developed detection mechanism efficiency on the basis of neural networks (accuracy was 0.99125) and decision tree composition (accuracy was 0.99240). The obtained data confirmed the hypothesis about the possibility of constructing the heuristic malware analyzer on the basis of features selected during the static analysis of the executable files.