[发明专利]基于Qemu模拟器的恶意程序行为捕获方法

说明书

技术领域

本发明属于计算机安全领域，更进一步涉及恶意程序行为分析领域，特别是基于Qemu模拟器的恶意程序行为捕获方法。

背景技术

在恶意程序分析领域中，对恶意程序进行行为分析，是为了得到恶意程序的行为报告，以辅助分析人员理解恶意程序的行为或用于检测恶意程序。目前恶意程序的检测主要使用基于样本的特征码和非正常攻击行为模式的传统安全解决方案，如防火墙、入侵保护系统、杀毒软件、网络网关等，这存在着以下问题：

第一，无法有效应对利用0day漏洞的攻击。0day漏洞是新出现的漏洞，这种漏洞的静态特点和攻击方式，很可能是以前未曾发现的。传统的安全解决方案从原理上来讲是难以防范这种攻击的。

第二，消耗资源。传统安全解决方案不能应对爆炸性增长的恶意程序的需求。在传统安全解决方案中，每个样本必须存储相应的特征码或非正常攻击行为模式，随着恶意程序的不断涌现，存储这些信息所需的资源也不断增加，这会消耗大量的系统资源。

基于行为分析可以克服这两个弊端。这是因为恶意程序总是要表现出恶意行为，且样本的恶意行为种类总是有限的。

电子科技大学拥有的专利技术“基于API HOOK的恶意代码自动分析方法和系统”（公开号：CN102314561A，授权日：2012年01月11日，申请日：2010年07月01日）中公开了一种恶意代码自动分析方法。该方法利用API钩子技术和远程线程注入技术，对样本进行监控。记录恶意代码运行过程中对整个系统的影响，并自动生成动态分析报告，记录恶意代码样本对文件，网络，注册表，进程所产生的影响，当样本运行结束后，将系统恢复到样本执行前的状态。检测恶意代码样本对文件的创建，删除，修改等行为；检测恶意代码样本对网络的操作行为；检测恶意代码样本对注册表添加，删除和修改等行为。检测恶意代码样本创建进程的操作行为。最终提交恶意代码样本动态监控报告。该方法适用于大量样本的无人工干预的分析，分析速度比较快，分析报告中的无用信息比较少。但仍存在以下缺点：

1、没有分析被恶意程序注入的进程。恶意程序除了在主进程和其创建的子进程中实施恶意行为外，还可能注入系统进程或其它应用程序进程，在被注入的进程中实施恶意行为。

2、没有覆盖恶意程序的全生命周期。部分恶意程序在初次运行为了隐藏的目的，只有创建自启动的行为，如写注册表自启功项或是创建服务。恶意程序真正的恶意行为会在重新启动表现出来。

3、API HOOK的方法易被检测出来。该专利采用的API HOOK方法需要在监控过程中改写内存中被监控API的头5个字节为jump汇编指令，使该函数能跳到监控模块自定义的函数。珠海金山软件股份有限公司专利“一种Windows平台下对抗API挂接的方法”（公开号：CN1936834A，授权日：2007年03月28日，申请日：2006年09月14日）公布了一种Windows平台下对抗API挂接的方法。该方法读取PE文件中API的内容和进程中API内容，通过比较内容来识别是否有API挂接。该专利采用的APIHOOK方法即可被检测出来。恶意程序也可以采用这种方式检测并绕过该专利的分析方法。

沙盒是分析恶意程序行为的重要工具。目前对沙盒的利用，主要是利用沙盒构建一个隔离，可快速恢复的执行环境，在该环境中运行程序，并捕获样本的行为。沙盒的构建主要是利用虚拟机，这是因为虚拟机本身具有隔离的性质，并且可使用快照快速恢复到一固定执行环境。沙盒中普遍采用的行为捕获方法是在客户机操作系统上构建监控模块，这种沙盒存在两点缺陷，一是当恶意样本含有比监控模块更低层的功能模块时，可以绕过监控模块或去除监控模块，使监控无效或错误；二是含有反虚拟机功能的样本，可以检测出样本运行于沙盒中，从而可以不实施真正的逻辑，逃避沙盒的监控。另外，很多通用的沙盒在被构造时并没有结合恶意程序的行为特点，导致恶意程序的不能有效的覆盖恶意程序运行的轨迹和全生命周期。