LO-PHI:物理主机监控技术在恶意软件分析中的应用
版权申诉
22 浏览量
更新于2024-08-20
收藏 920KB PDF 举报
"LO-PHI: 低可观测性物理主机仪器用于恶意软件分析"
这篇文档探讨了一种名为LO-PHI(Low-Observable Physical Host Instrumentation for Malware Analysis)的技术,旨在创建一个对恶意软件行为进行分析的环境,同时避免被恶意软件检测到并自我终止。论文发表于2016年3月17日,主要关注如何利用物理方法在线监控主机状态,特别是内存和硬盘,以便更有效地分析恶意软件。
1. 目标:解决恶意软件检测分析环境的问题,通过物理方式构建一个难以被恶意软件察觉的分析平台。这样,即使恶意软件试图检测它是否在被分析,也无法成功逃避。
2. 技术手段:使用System Under Test (SUT)上的硬件插拔,如内存和硬盘,实时监测物理主机的状态。研究者运用开源工具Volatility和Sleuthkit来处理收集的数据。
3. 系统开发:文中重点介绍了监控SATA硬盘的新方法,并整合了其他人的工作,形成一个完整的分析系统。硬件实现包括使用Xilinx ML507 PCIe板读取内存,一个带有两个SATA接口的板子作为主机和硬盘的中介,通过千兆网卡以UDP形式传输数据。此外,他们还制作了模拟键盘和鼠标以远程控制物理主机,并利用PXE网络启动技术简化设备重置。
4. 虚拟化版本:作者还搭建了一个基于虚拟化技术的版本,可以读取内存、硬盘数据,进行交互并恢复状态。
5. 性能测试:使用RAMSpeed测试内存性能,用IOZone评估硬盘性能。另外,PSI(Programmed Software Instrumentation)可以对程序和其使用的共享库进行插桩,以进行动态分析。
6. 限制与挑战: DMA可以在支持IOMMU的系统上被禁用,这可能影响数据采集。内存不是一次性完整dump,而是分段读取,可能导致在dump过程中内存被修改,但实际影响较小。文件系统缓存可能导致硬盘记录不准确,但这种情况不常见。网络策略限制了在组织内部运行恶意软件样本的能力。
LO-PHI提供了一种创新的方法来应对恶意软件分析中的挑战,通过物理手段监控主机,减少被恶意软件察觉的可能性,从而提高分析的有效性和准确性。然而,这种方法也面临一些限制,需要在实际应用中谨慎考虑和优化。
2021-08-07 上传
2023-07-14 上传
2023-05-15 上传
2021-10-04 上传
2015-05-10 上传
2021-10-18 上传
2021-10-04 上传
2021-05-26 上传
2023-05-15 上传
2023-05-15 上传
mYlEaVeiSmVp
- 粉丝: 2186
- 资源: 19万+
最新资源
- Angular实现MarcHayek简历展示应用教程
- Crossbow Spot最新更新 - 获取Chrome扩展新闻
- 量子管道网络优化与Python实现
- Debian系统中APT缓存维护工具的使用方法与实践
- Python模块AccessControl的Windows64位安装文件介绍
- 掌握最新*** Fisher资讯,使用Google Chrome扩展
- Ember应用程序开发流程与环境配置指南
- EZPCOpenSDK_v5.1.2_build***版本更新详情
- Postcode-Finder:利用JavaScript和Google Geocode API实现
- AWS商业交易监控器:航线行为分析与营销策略制定
- AccessControl-4.0b6压缩包详细使用教程
- Python编程实践与技巧汇总
- 使用Sikuli和Python打造颜色求解器项目
- .Net基础视频教程:掌握GDI绘图技术
- 深入理解数据结构与JavaScript实践项目
- 双子座在线裁判系统:提高编程竞赛效率