基于符号执行优化的PDF恶意指标提取技术

TP311; 恶意PDF文档是APT组织常用的攻击方法,提取分析其内嵌JavaScript代码指标是判定文档恶意性的重要手段,然而攻击者可以采取高度混淆、虚拟机与沙箱检测等逃逸方法.因此,文中创新性地将符号执行方法用于PDF指标提取,提出了一种基于符号执行优化的PDF恶意指标提取技术,并实现了由代码解析、符号执行和指标提取3个模块组成的指标提取系统SYMBPDF.在代码解析模块中实现内嵌JavaScript代码提取与重组.在符号执行模块中设计代码改写方法,通过强制分支转移提高符号执行的代码覆盖率;设计并发策略和两种约束求解优化方法,以提高系统执行效率.在指标提取模块中实现恶意指标整合与记录.对...

Celý popis

Uloženo v:
Podrobná bibliografie
Vydáno v:计算机科学 Ročník 51; číslo 7; s. 389 - 396
Hlavní autoři: 宋恩舟, 胡涛, 伊鹏, 王文博
Médium: Journal Article
Jazyk:čínština
Vydáno: 国家数字交换系统工程技术研究中心 郑州 450001 15.07.2024
Témata:
指标提取
Code rewriting
Malicious documents
符号执行
Constraint solving op-timization
代码改写
Indicator extraction
恶意文档
JavaScript代码
JavaScript code
Symbolic execution
约束求解优化
ISSN:1002-137X
On-line přístup:Získat plný text
Tagy: Přidat tag
Žádné tagy, Buďte první, kdo vytvoří štítek k tomuto záznamu!
Popis
Shrnutí:TP311; 恶意PDF文档是APT组织常用的攻击方法,提取分析其内嵌JavaScript代码指标是判定文档恶意性的重要手段,然而攻击者可以采取高度混淆、虚拟机与沙箱检测等逃逸方法.因此,文中创新性地将符号执行方法用于PDF指标提取,提出了一种基于符号执行优化的PDF恶意指标提取技术,并实现了由代码解析、符号执行和指标提取3个模块组成的指标提取系统SYMBPDF.在代码解析模块中实现内嵌JavaScript代码提取与重组.在符号执行模块中设计代码改写方法,通过强制分支转移提高符号执行的代码覆盖率;设计并发策略和两种约束求解优化方法,以提高系统执行效率.在指标提取模块中实现恶意指标整合与记录.对1271个恶意样本进行了指标提取与评估,指标提取成功率为92.2%,有效性为91.7%,代码覆盖率较优化前提升8.5%,系统性能较优化前提升32.3%.
ISSN:1002-137X
DOI:10.11896/jsjkx.230300117