安靖
- 作品数:3 被引量:10H指数:2
- 供职机构:北京邮电大学更多>>
- 发文基金:国家自然科学基金国家科技支撑计划国家科技重大专项更多>>
- 相关领域:自动化与计算机技术更多>>
- 路径条件驱动的混淆恶意代码检测被引量:3
- 2013年
- 代码混淆是恶意代码隐藏自身的主要手段之一.本文提出了一种新的动态检测方法,能够有效检测混淆后的恶意代码.该方法能够利用ISR进行动态调试.在调试过程中通过对路径条件的约束求解,驱动恶意代码执行不同的路径更深入地检测隐藏恶意代码.此外,对于需要读取外部资源的恶意代码,恶意行为往往需要结合外部资源才能检测.本文方法能够准确定位外部资源并结合原始恶意代码进行检测,提高检测的准确性.在原型系统的测试中,与12种杀毒软件的横向测试表明,该方法在对混淆恶意代码检测中能有效地降低漏报率.
- 安靖杨义先李忠献
- 关键词:恶意代码检测代码混淆
- 恶意代码的符号执行树分析方法被引量:1
- 2012年
- 在恶意代码分析中,动态监测虚拟环境中的恶意代码行为是一种常用的方法。但是,由于可执行的路径分支众多,极易产生路径爆炸问题,造成某些可执行路径无法被覆盖,严重影响分析的全面性。为了解决恶意代码分析中路径爆炸问题,提出了一种基于符号执行树的恶意代码分析方法。通过构造符号执行树,引入汇聚节点,对恶意代码的执行路径进行约束求解,减少分析路径,从而缓解路径爆炸的影响,提高分析的全面性。恶意代码样本分析的实验表明,该方法能够有效地提升分析效率,同时拥有较小的时间复杂度。
- 钟金鑫魏更宇安靖杨义先
- 关键词:恶意代码分析汇聚节点
- 函数摘要在Concolic测试方法中的应用被引量:6
- 2012年
- 在函数摘要的基础上提出了一种新的Concolic测试方法.该方法利用外部调用的函数摘要来避免多次测试外部调用引起的路径爆炸问题.在对外部调用进行Concolic测试后,将其返回结果和路径条件作为函数摘要.测试过程中调用同一外部调用时,该方法用函数摘要替代展开测试,避免了传统Concolic测试过程对外部调用重复测试的问题,缓解了调用次数增多和调用深度增加引起的路径爆炸问题.原型系统的实验结果表明,随着测试对象中函数数量的增加,传统Concolic测试路径数量可能出现指数型增长,而该方法中测试路径数量基本保持线性增长.
- 安靖钟金鑫魏更宇杨义先
