文档介绍：Behavior Analysis of Malicious Code



Thesis Submitted to Nanjing University of Posts and
Telecommunications for the Degree of
Master of Engineering



By
Hai-peng Zhang
Supervisor: Prof. Jun Qin
March 2013

·
摘要
恶意代码（如病毒、僵尸网络、木马、蠕虫、Rootkit）的爆发式增长严重威胁着信息系
统安全。尽管常用的恶意代码检测技术，比如基于异常的恶意代码检测，可以检测识别出部
分恶意代码，但是始终存在缺陷与不足。因此，研究恶意代码分析检测技术意义重大。
本文对恶意代码的定义、种类以及特征进行了概括。详细讨论了常用的恶意行为监视方
法及其各自的缺点与不足。在这基础上，基于硬件辅助虚拟化特性提出一种改进的恶意代码
行为监视方法。这种方法监视系统事件获取代码的行为特征，它以较低的性能开销实现恶意
代码透明行为监视。
对于恶意代码分析，静态分析不能检测未知恶意代码和变体攻击，动态分析占用系统资
源多而且误报率高。论文提出一种基于综合行为特征的恶意代码分析方法，主要提取代码的
关联行为特征、系统调用序列特征和函数调用特征，并且综合这些行为特征利用加权投票算
法判定代码是否为恶意代码。
本文研究恶意代码的透明行为监视、行为特征分析和虚拟化技术，实现了基于综合行为
特征分析的恶意代码检测系统。该原型系统主要包括：启动检测模块、虚拟机模块、行为特
征分析模块和代码检测模块。启动检测模块完成系统启动检测和加载虚拟机模块功能，虚拟
机模块实现操作系统迁移和透明监视功能，行为特征分析模块主要负责行为特征的提取与收
集工作，代码检测模块主要基于多特征加权投票算法判定代码是否为恶意代码。通过样本测
试可以得出原型系统具有较高的检测识别率和较低的性能开销。

关键词：恶意代码，虚拟机技术，行为分析，系统调用
I
Abstract
Malicious codes (such as virus, botnet, Trojan horse, worm, Rootkit) have explosively grown on
the internet, which make information system security more serious. While traditional malicious
code detection technology, for example, the abnormal detection, can detect partial malicious code,
but still exists some defects. Thus, the research on analysis of malicious code is of great
significance.
This paper discusses the definition, types and features of malicious code. The traditional
monitoring method of malicious code was studied in detail and shortcomings are discussed. On this
basis, we put forward Modified Secure In-VM Monitoring (MSIM), a approach based on hardware
virtualization features. This method monitors