郝石、阿卜杜拉·阿尔瓦贝尔和杰莉娜·米尔科维奇南加州大学信息科学研究所(ISI)
恶意软件分析在很大程度上依赖于使用虚拟机来实现功能和安全。虚拟机和物理机之间的操作存在细微差异。当代恶意软件检查这些差异,以检测其是否在虚拟机中运行,并修改其行为以阻止防御者进行分析。揭示这些差异的现有方法使用随机测试或恶意软件分析,并且不能保证完整性。
在本文中,我们提出了红丹测试(Cardinal Pill Test),它是对红丹测试[21]的一种改进,旨在通过精心设计的测试来列举给定虚拟机和物理机器之间的差异。红衣主教药丸测试通过比红衣药丸测试少进行15倍的测试,发现药丸数量是红衣药片测试的5倍。我们进一步研究了药丸的原因,发现虽然大多数药丸源于虚拟机未能遵循CPU设计规范,但有很大一部分药丸源于因特尔手册对某些指令的效果没有明确规定。这导致在不同的CPU和虚拟机体系结构中实现不同。Cardinal Pill Testing成功地列举了源于第一个原因的差异,但只有彻底的测试或对实现语义的理解才能列举出源于第二个原因的那些差异。最后,我们绘制了一个方法,通过系统地更正虚拟机中的输出来隐藏恶意软件的药丸。
USENIX致力于开放访问我们活动上展示的研究。活动开始后,所有人都可以免费获得论文和会议记录。活动结束后发布的任何视频、音频和/或幻灯片也免费向所有人开放。支持USENIX以及我们对开放存取的承诺。
下载音频