A study to under stand malware behavior through malware analysis

# A study to under stand malware behavior through malware analysis --- ## Abstract 大多數惡意軟體檢測都是用基於簽名(malware signatures)來偵測。對已知惡意程式容易檢測出來，但當惡意軟體是未知或被零時差攻擊的時候很難檢測。需要一種新穎的方法來表示惡意軟體功能有效地檢測模糊，未知和變種的惡意軟體。本文重點介紹惡意軟體的行為，特徵和透過不同的分析技術提取的特性決定是否加入它們以建立基於行為的惡意軟體簽名。作者嘗試使用一些公開可用的工具進行惡意軟體行為分析。 --- ## Introduce 儘管使用了不同惡意軟件檢測技術，但仍無法檢測到惡意軟體，因為惡意軟體作者會使用了模糊化技術，對抗基於簽名的惡意軟體檢測系統。基於簽名的檢測系統的主要缺點之一就是要經常更新簽名資料庫，因為惡意軟體是使用不同的簽名快速生成的。惡意軟體可能會執行許多惡意程式，但合法軟體有時也可能會出現，因此，我們需要考慮一些其他屬性或活動，以創建基於行為的一致惡意軟體簽名。在本文中，我們進行了測試 **惡意軟體加殼程序** 並討論了結果，還討論了**ASCII的不對稱排列** 測試使用不同的工具，軟體和線上檢測工具來收集良性檔案。目的是傳達惡意軟體的行為在檢測中占很重要的一部份，但仍然不能完全依靠它。在這項工作中，我們測試了不同的樣本以識別惡意軟件行為不僅在惡意樣本中，而且在良性樣本。證明了操作和動作通常在惡意軟件中發現的內容不能被認為是重要的惡意軟件檢測的元素，因為有時這些是也由良性檔案執行 *簽名快速生成意思 => 在計算中，所有對像都具有可用於創建唯一簽名的屬性。算法可以快速有效地掃描對像以確定其數字簽名。當反惡意軟件解決方案提供商將某個對象識別為惡意對象時，其簽名將添加到已知惡意軟件的數據庫中。這些存儲庫可能包含數億個用於識別惡意對象的簽名。這種識別惡意對象的方法一直是惡意軟件產品使用的主要技術，並且仍然是最新防火牆，電子郵件和網絡網關使用的基本方法。 --- ## Related work 將惡意軟體運作分成四種類型再作檢測 DM 技術也用在以比較opcode頻率為基礎的惡意軟體分析技術上在合法文件和惡意軟件文件中。這種方法是缺點是，惡意軟體作者常加良性 dead code (無作用的程式碼) 段進入惡意程式，這有助於它們可以防止opcode 頻率檢測。惡意軟件打包是，打包器可以使用某種類型的打包軟體中的標籤(的東西)，並將這個標籤分發到所有反惡意軟件廠商。標籤必須包含詳細資訊關於包裝商，包裝商品種，客戶識別等等打包機的普及和使用在研究中描述了惡意軟件創建過程中的“漏洞” --- ## Experiment Requirements 我們使用了Linux的工具 REMnux，通常將其用於反向工程。靜態分析加殼工具，稱為UPX，是可執行文件的加殼，用於檢查樣品是否已加殼並解殼好的樣品。邁克爾·西科斯基（Michael Sikorski）等。等在他們的書中說 UPX被許多病毒編寫者廣泛用於加殼目的。 Bytehist是生成直方圖的工具適用於所有類型的文件，更多地基於Windows 可移植可執行文件。分析產生的直方圖以十六進制值指定ASCII字在00到FF之間。最初，主要直方圖是為文件創建，然後為PE文件創建。同樣，中學為文件的不同部分創建直方圖。從這些直方圖中，我們可以觀察到不規則和異常文件不同部分中的字節分佈。如果字節碼均勻分佈，然後可能會加密文件，包裝或壓縮。還有另一種類似的已知工具作為Charcount，它以文本格式生成輸出，用於整個文件。除了這些工具，我們還使用了VirusTotal提供的服務。它會分析文件或統一資源定位器，並提供以前的數據庫分析文件。 VirusTotal提供的分析報告包含惡意軟件必不可少的各種信息研究。值得一提的是，掃描結果來自許多反病毒解決方案已經幫助我們很大程度地驗證了我們結果。為了進行實驗，我們收集了程序用於管理系統刪除永久文件，刪除損壞的鏈接，搜索冗餘文件，任務管理文件，優化磁盤，文件加密程序等。注意我們的假設之前的目的是檢查良性樣本以觀察惡意經常執行的動作，屬性樣品。我們選擇了100個樣本進行我們的實驗 --- ## Architecture of extension --- ## Results of experiments ASCII的自結分布分析出某部分rest中程序的主要部分部分可能是由於使用了諸如INNO之類的(加殼)工具引起的生成安裝程序。 --- ## Conclusion 觀察到，有時良性檔案也可能會包含和惡意檔案類似的操作，反惡意軟體系統誤判成惡意軟體但是，惡意軟體作者會掩蓋惡意活動躲過檢測功能。加殼，加密或壓縮可執行文件時，會出現同樣的問題。儘管惡意軟體發展者廣泛使用加殼技術，它們還有助於保護合法檔案的完整性，會很難區分好與壞的目標包後面使用。根據我們的實驗結果多個惡意操作被積極檢測到樣品正在考慮。分析了100個樣品積極支持我們的假設。作為這個的延伸工作中，我們將識別並鞏固所發生的變化分析後的程式安裝到系統上不同的測試環境。在我們未來的工作中，我們會強調動態分析，因為要發現一個包裝樣品的隱藏行為，必須執行它。包裝資訊在描述時不能忽略惡意軟體或惡意軟體的行為簽名，但他們應該沒有什麼意義，不應該影響變成消極檢測。 --- ###### tags: `thesis`