路径条件驱动的混淆恶意代码检测(2)

　　2.1路径条件驱动的检测

　　在动态跟踪的基础上，准确地发掘可疑行为是恶意代码检测的关键.传统动态分析技术仅对恶意代码的少数路径进行动态分析，无法保证路径覆盖率.然而恶意攻击者往往通过各种条件跳转来隐藏恶意代码中的攻击行为.比如通过检测自身父进程来判断运行环境，只在特定的环境下实施恶意行为.针对这种手段，跟踪模块采用Concolic测试方法驱动分析对象动态执行.首先根据ISR调试器的输出得到分析对象当前执行路径的约束条件，并对其进行变换和约束求解得到新的目标路径和输入.然后，跟踪模块驱动分析对象执行新的目标路径，避免重复执行同一路径造成冗余测试.Concolic分析算法如图3所示.

　　算法中，跟踪模块监控ISR调试器逐指令运行分析对象.当发生关键系统API调用时，记录API调用并分析是否需要加载外部资源.当遇到条件分支语句时，将其加入路径约束条件表达式并调用update_branch_stack函数将该分支条件及其当前值入栈.当程序执行完成时，如果分支栈为空，则说明所有分支已经遍历，测试完成；否则取得栈顶未被遍历的分支条件，对该分支条件取反并得到新的路径条件，求解该路径条件并继续Concolic测试.

　　跟踪模块采用基于Concolic测试的恶意代码检测方法，能够提高恶意代码分析的路径覆盖率，更深入地挖掘疑似恶意代码中的恶意行为特征，并将特征反馈到特征库用于其他恶意代码样本的检测.

　　2.2外部资源定位与跟踪

　　跟踪模块的另一个重要特点是在发现系统I/OAPI时能检测并加载外部资源.许多恶意代码作者为了方便恶意代码通过网络传播或者捆绑漏洞，采用加载器加外部资源的方式制作恶意代码.加载器体积小，能够自动通过网络或者读取文件的方式加载包含实际恶意行为的外部资源.在恶意代码检测的过程中如果仅仅对加载器进行分析，可能无法发现恶意行为从而漏报.因此，自动检测系统I/O加载分析对象的外部资源并进行联合分析能够大大降低恶意代码检测的漏报率.本文的方法通过对文件、网络、注册表读写等多种I/O相关系统调用的HOOK和参数分析，实现准确地定位、保存外部资源，并将其作为检测的一部分进行深入分析.根据系统调用的不同，外部资源可能以本地文件、网络流、内存数据等不同形式出现.对于这些不同形式的外部资源，加载器会采取不同的加载方式.

　　PE文件：以PE文件形式存在的外部资源，可使用WinExec，CreateProcess等系统函数直接运行.跟踪模块通过对这些系统调用的参数与外部资源路径匹配，实现外部资源加载和执行检测.随后，跟踪模块会结合原分析对象的行为和外部资源的行为实现检测.

　　网络流与内存数据：以这种形式存在的外部资源，加载器可以通过call，jmp等调用或跳转直接跳入执行.检测系统通过目标地址范围匹配，标识外部资源所在的内存范围，监控跟踪内存执行代码情况，发现跳转到外部资源后，跟踪模块结合原分析对象和外部资源的行为进行分析检测.

　　外部资源的具体检测流程如下：

　　步骤1：通过关键系统函数检测，实现外部资源的定位和标识；

　　步骤2：继续运行分析对象，检测进程运行相关系统函数和函数调用、跳转等指令；

　　步骤3：如果检测到执行、跳转到外部资源，则结合原分析对象进行综合检测.

　　通过对外部资源的检测，系统能够更准确地检测出分离式恶意代码，并能够更全面地提取分离式恶意代码的恶意特征.

　　3实验与分析

　　为了证明本文方法的有效性，本节对原型系统进行实验.原型系统在一台DELLT610服务器上运行，操作系统为Win7x64版本.Bochs中运行WindowsXP，在Wildlist中选择了一组样本进行测试.使用多款杀毒软件对一组样本进行一次检测，然后VXHeavens[17]提供的多态变形工具对这组样本进行混淆处理，再进行一次检测，对比两次检测的结果如表1所示.

　　在未经过多态变形时，所有杀毒软件几乎都能够完全检测出这些恶意代码样本，原型系统测试也取得了较为理想的结果.然而经过多态变形工具处理之后，检测情况发生了显著变化.大部分杀毒软件漏报率上升到了50%左右，甚至小部分漏报率超过了50%.原型系统的漏报率上升不大，仅上升到了19.67%.这是由于多态变形后，样本的恶意特征被控制流混淆以及条件混淆隐藏很难被准确检测.因此所有被测试的安全防护软件的检测率都发生了下降.由于原型系统采取了Concolic测试方法来分析样本，路径覆盖率更高，同时能够定位并加载外部资源，更有效地实现对变形后的恶意代码的检测.