一种新的恶意软件行为分析系统的设计与实现凌冲余忠慧孙乐昌刘京菊张亮(解放军电子工程学院合肥230037摘要:基于虚拟化技术的恶意软件行为分析是近年来出现的分析恶意软件的方法。该方法利用虚拟化平台良好的隔离性和控制力对恶意软件的运行时行为进行分析,但存在两方面的不足:一方面,现有虚拟机监视器(VirtualMachineMonitor,VMM的设计初衷是提高虚拟化系统的通用性和高效性,并没有充分考虑虚拟化系统的透明性,导致现有的VMM很容易被恶意软件的环境感知测试所发现;另一方面,源代码较为庞大和复杂,提供了很多恶意软件行为分析不需要的功能,带来了“”更多的边缘效应和漏洞。为此,提出一种基于硬件辅助虚拟化技术的恶意软件行为分析系统一—THVA。THVA是一个利用了安全虚拟机(SVM、二级页表(NPT、外部设备访问保护(EAP和虚拟机自省等多种虚拟化技术完成的、专门针对恶意软件行为分析的微型VMM。实验结果表明,THVA在虚拟机自省、行为监控和反恶意软件检测方面表现良好,并通过安全模式转换技术将自身性能提高了18.2%左右。关键词:硬件辅助虚拟化;恶意软件行为分析;虚拟机自省;二级页表;外部设备访问保护中图法分类号:TP309.5文献标识码:ADesignandachievementofmalwareanalysissystembasedonHardware-assistedVirtualizationMonitorLINGChongYUZhong-huiSUNLe-changLIU激ng-juZHANGLiang(ElectronicEngineeringInstitute,PLA,Hefei230037,ChinaAbstract:MalwareanalysisbasedonHardware-assistedVirtualizationMonitorhasbeenrecentlypresently,whichutilizethestrongisolationandtheabilitytocontrolGuestOSofvirtualizationplatformtoanalyzethemalwareruntimebehavior.Buttherearetwoshortages:oneisthatthedesignmotiveofVMMisnotfortransparencybutforfunctionalityandperformance,whichinduceVMMtobedetectedbymalware’svirtualizationenvironmentdetection;anotheristhatVMM’scodearetoolargeandcomplex,andpartoftheirfunctionisunnecessary.Thesefeaturesbringmore“side-effects”andvulnerabilities.Therefore,amalwareanalysissystembasedonHardware-assistedVirtualizationMonitor—THVAispresented.THVAisthinVMM,whichonlyabout6000linescode,utilizingtheSVM,NPT,EAPandvirtualmachineintrospectiontechnologiestoachieve,andspecialformalwareanalysis.TheresultofexperimentsshowsthatTHVAisgoodforvirtualmachineintrospection,behaviormonitorandanti-detection,etc.Inaddition,THVAutilizestheSecurityModeTransitiontechnologytoenhancetheperformanceitselfforabout18.2%.Keywords:Hardware-assistedVirtualizationMonitor;malwareanalysis;virtualmachineintrospection;NPT;EAP1引言恶意软件行为分析是指计算机安全研究人员分析恶意软件在操作系统中的执行流程,及其对操作系统资源的影响。通过对恶意软件的行为分析,安全研究人员可以找出针对性的方法修复和保护操作系统。目前,恶意软件行为分析系统主要分为两种:一种是传统的恶意软件行为分析系统,即行为分析系统与恶意软件运行于同一操作系统中,不仅无法确保所提取恶意软件信息的可靠性,其自身也容易受到恶意软件的攻击;另一种是基于虚拟化技术的恶意软件行为分析系统,目前的XEN和VMware等商用虚拟机软件已经被运用到这一领域[1]。但是,这种行为分析系统也同样存在问题——商业虚拟机的设计初衷与恶意软件行为分析系统的设计要求相违背,严重影响了基于虚拟化技术的恶意软件行为分析系统的安全性。本文第二节详细叙述了当前主流恶意软件行为分析技术的缺点。在此基础之上,在第三节提出了一种基于硬件辅助虚拟化技术的恶意软件行为分析系统一—THVA,并在第四节完成了THVA的原始实现。最后,通过实验结果证明了THVA较之当前大多数恶意软件行为分析系统,具有更好的可靠性、可信性和高效性。2当前恶意软件行为分析技术及其缺点当前恶意软件分析技术包括了传统恶意软件行为分析技术和基于虚拟化技术的恶意软件行为分析技术。传统的恶意软件行为分析技术包括:反汇编技术、调试技术和黑盒测试技术。其中,反汇编技术...