基于动态污点传播的恶意软件逆向分析研究

恶意软件是目前信息系统安全的主要威胁之一，恶意软件逆向分析的目标是分析确认恶意软件的恶意行为，剖析恶意软件实现机理，辅助确定恶意软件的行为特征及检测或防范方法。本课题将对典型的恶意软件实现原理进行分析，剖析恶意软件的窃密/泄密、后门与远程控制、个人隐私搜集等典型恶意行为机理，并建立相关行为特征模型；基于动态污点传播基础理论和方法，研究基于污点传播的数据流分析等问题，建立一套面向恶意软件逆向分析的动态污点传播分析方法体系，重点完善动态污点传播对多污点源的支持，提升污点传播回溯分析能力；针对窃密/泄密、后门、个人隐私搜集、软件漏洞利用等典型恶意行为识别、恶意行为关键属性识别与特征提取等问题进行研究，提出一套窃密/泄密等恶意行为判定方法和软件漏洞利用过程逆向分析方法，提高恶意行为判定及行为特征提取能力。本项目的顺利实施预期可对恶意软件的检测与防范、软件安全性评测等工作起到促进作用。

恶意软件是目前信息系统安全的主要威胁之一，恶意软件逆向分析的目标是分析确认恶意软件的恶意行为，剖析恶意软件实现机理，辅助确定恶意软件的行为特征及检测或防范方法。本项目重点围绕动态污点传播分析理论与方法，研究恶意软件机理分析和防御手段，突破了多污点源回溯分析、恶意软件同族判定、软件漏洞利用自动生成、移动智能终端恶意软件行为分析等技术。主要进展及成果如下：1）提出了一套多污点源、可回溯的动态污点传播分析方法，并研发了一套动态污点传播引擎，实现了对网络、文件等多种不同污点源的细粒度数据流回溯分析能力；2）基于动态污点传播分析方法，提出了一系列的恶意代码分析方法，主要包括恶意代码同族判定方法、恶意代码网络协议逆向分析方法、基于协议逆向分析的僵尸网络测量方法等，提升了恶意代码的分析与防御能力；3）针对软件漏洞或后门，提出了一套漏洞利用自动生成方法，实现了对于控制流劫持漏洞的可利用性自动判定和利用代码的自动生成，提升了漏洞可利用性的分析判断能力，对开展漏洞防御方法研究具有重要帮助。4）针对移动智能终端的恶意软件，提出了一套移动智能终端恶意软件分析方案，研发了移动智能终端恶意软件分析系统，并基于该系统发现了移动智能应用中的重大隐私泄露问题。5）完成原型系统开发两项，在SECURECOMM,ASIACCS等学术期刊和国际学术会议发表论文21篇，形成专利申请4项，形成国际标准提案2项。