l j i 東大學(xué)碩士學(xué)位論文 摘要 隨著網(wǎng)絡(luò)系統(tǒng)應(yīng)用及復(fù)雜性的增加。網(wǎng)絡(luò)蠕蟲成為網(wǎng)絡(luò)系統(tǒng)安全的重 要威脅。近幾年來，蠕蟲本身又有了新的進展，即多態(tài)蠕蟲的出現(xiàn)，其通 過使用多種變形技術(shù)可以很容易的避開現(xiàn)有入侵檢測系統(tǒng)的檢測，成為未 來威脅到互聯(lián)網(wǎng)絡(luò)安全的一個重大隱患。目前，針對多態(tài)蠕蟲的檢測技術(shù) 的研究已經(jīng)成為現(xiàn)在蠕蟲研究的熱點。 盡管針對多態(tài)蠕蟲的研究已有了許多有價值的研究成果，但均建立在 多態(tài)蠕蟲只能進行簡單變形與隱蔽的假設(shè)基礎(chǔ)上，對現(xiàn)有蠕蟲變形技術(shù)及 工具缺乏全面的分析與認識。雖然多態(tài)蠕蟲還未在網(wǎng)絡(luò)上大規(guī)模的出現(xiàn)， 并像m o r r i s 、c o d r e d 等蠕蟲那樣給社會帶來巨大的損失與危害，但隨著代 碼混淆技術(shù)及變形技術(shù)的不斷提高，其潛在的破壞性與危害性不得不引起 我們的關(guān)注。本文試圖以多態(tài)蠕蟲及其檢測技術(shù)為主題，對其進行系統(tǒng)及 全面的分析與研究。 基于行為的多態(tài)蠕蟲檢測技術(shù)，由于其利用蠕蟲行為不變性這一特點 以及在檢測多態(tài)蠕蟲方面的靈活性，已成為目前多態(tài)蠕蟲檢測技術(shù)研究的 重點。本文綜合論述了多態(tài)蠕蟲本身的結(jié)構(gòu)及常用變形技術(shù)，對近幾年來 針對多態(tài)蠕蟲的防治技術(shù)進行了歸納總結(jié)和比較分析，并在此基礎(chǔ)上對多 態(tài)蠕蟲本身進行了進一步的研究與探討，提出了一個針對能力更強的多態(tài) 蠕蟲的檢測方法，所做主要工作如下： 1 ) 針對現(xiàn)有多態(tài)蠕蟲檢測技術(shù)給出了系統(tǒng)及全面的分析。通過對現(xiàn)有幾類 檢測技術(shù)的比較，給出了它們各自的優(yōu)點與局限性，并以圖表的形式清 晰全面得對其各個方面的特點進行了對比與總結(jié)。 2 ) 給出了一種能力較強的多態(tài)蠕蟲的結(jié)構(gòu)及變形方式一一可改變程序結(jié) 構(gòu)的多態(tài)蠕蟲。通過對大量文獻及現(xiàn)有變形技術(shù)的分析，給出了一種能 力較強且具有潛在危害性的多態(tài)蠕蟲，并對其多種變形方式進行了分析。 同時，本文還對現(xiàn)有檢測技術(shù)在防治該種多態(tài)蠕蟲時表現(xiàn)出的局限性進 行了分析與總結(jié)。 3 ) 針對上述多態(tài)蠕蟲給出了一種新的檢測技術(shù)一一利用p d g ( 程序依賴 山東大學(xué)碩士學(xué)位論文 圖) 檢測結(jié)構(gòu)可變的多態(tài)蠕蟲。通過對該蠕蟲行為特點的深入分析，即 在整個傳播與攻擊過程中功能保持不變的特點，提出利用p d g 來擒述形 態(tài)各異的蠕蟲實例間功能上的熬性，以檢測該種多態(tài)蠕蟲。 本文為多態(tài)蠕蟲技術(shù)的發(fā)展提供了一個全薪的思路，即結(jié)構(gòu)可變的多 態(tài)蠕蟲，并提出了相應(yīng)的檢測方法。通過實驗與測試，該方法具有良好的 檢測能力和較低的誤差，以及可接受的檢測效率。 關(guān)鍵詞：多態(tài)蠕蟲；基于紛芳的檢測；程淳結(jié)構(gòu)改變；控制流程圖；程序依賴 圖。 l l ab s t r a c t a st h ei m p r o v e m e n to fn e t w o r ka p p l i c a t i o n s a n dc o m p l e x i t y , i n t e r a c t 、7 i 閣i 髓sh a v eb e c o m et h et h r e a tt ot h es e c u r i t yo ft h en e t w o r k 。r e c e n t l y ，w o r m s h a v en e wr e v o l u t i o n t h a ti sp o l y m o r p h i cw o r m s ， w h i c hc o u l du s em a n y m e t a m o r p h i ct e c h n i q u e st oe v a d et h e d e t e c t i o no ft h ee x i s t i n gi d s e s a t 1 p f e s e n t t h ed e t e c t i o nt e c h n o l o g i e so fp o l y m o r p h i cw o r m sh a v eb e c o m et h e f o c u so ft h ew o r mr e s e a r c h t h er e s e a r c ho fp o l y m o r p h i cw o r m sh a sm a d eq u i t ea n u m b e ro fi m p o r t a n t a c h i e v e m e n t s ，h o w e v e r , a l lt h e s er e s e a r c h e sa r eb a s e do nt h eh y p o t h e s i so f t h e s i m p l et r a n s f i g u r a t i o na b i l i t yo fp o l y m o r p h i cw o r m s ，a n dl a c ka 恕l l a n a l y s i s 粕du n d e r s t a n d i n go ft h em e t a m o r p h i ct e c h n i q u e s a n dt o o l s a l t h o u g h p o l y m o r p h i ew o r m sh a v en o ta p p e a r e di n al a r g es c a l eo nt h ei n t e r a c t ，a l o n g 、) l r i t hm ec o n t i n u o u si m p r o v e m e n to f c o d eo b f u s c a t i o na n dm e t a m o r p h l c t e c h n i q u e s ，t h e i rp o t e n t i a ld a n g e r sa n dd a m a g e sd e s e r v e so u r s e r i o u sa t t e n t l o n b e h a v i o r b a s e dd e t e c t i o nt e c h n o l o g i e s ，b e c a u s eo fi t st r a i to fm a k i n gu s e o ft h ew o r m sc o n s t a n tb e h a v i o ri nt h ew h o l ea t t a c kp r o c e s sa n di t sf l e x i b i l i t y i nd e t e c t i n gp o l y m o r p h i cw o r m s ，h a v eb e c o m et h ef o c u so nt h er e s e a r c ho f d e t e c t i o nt e c h n o l o g i e so fp o l y m o r p h i cw o r m sa tp r e s e n t i nt h i sp a p e 。t h e s t r u e t 玨f eo fp o l y m o r p h i cw o r m sa n dm e t a m o r p h i ct e c h n i q u e s w a sf i r s t l y c o m p l e t e l yp r e s e n t e d ，t h e ns o m ed e t e c t i o n t e c h n i q u e si n r e c e n ty e a r sw e r e c o 薤e l u d e da 鑫蓮a 薹薹a n a l y s i sw a sg i v e n ，f i n a l l yak i n do fs t r o n g e rp o l y m o r p h l e w o r m sa n dac o r r e s p o n d i n gd e t e c t i o nm e t h o da r ep r e s e n t e d t h em a j o r w o r k1 s d o n eb yt h ef o l l o w i n g ： ( 1 ) as y s t e m a t i ca n dc o m p r e h e n s i v ea n a l y s i sa b o u tt h ed e t e c t i o nt e c h n o l 0 9 1 e s o fp o l y m o r p h i cw o r m sw a sg i v e n 。t h r o u g ht h ec o m p a r i s o na m o n g t h e s e d e t e c t i o nt e c h n o l o g i e s ，a l lo ft h e i rc h a r a c t e r i s t i c ss u c ha sa d v a n t a g e sa n d l i m i t a t i o n sw e r ep r e s e n t e db yc h a r t s 。 ( 2 ) as t r u c t u r ea n ds o m em e t a m o r p h i ct e c h n i q u e so f an e wk i n do fp o l y m o r p h i c w o r m sw i t hh i g ha b i l i t y ，p o l y m o r p h i cw o r m sw i t hc h a n g e a b l ep r o g r a m s t f u c t u f e ，i l r ei n t f o d u c e d w i t ht h ea n a l y s i so fl a r g ea m o u n t so fr e f e r e n c e s 山東大學(xué)碩士學(xué)位論文 a n dc u r r e n tm e t a m o r p h i ct e c h n i q u e s ，o n ek i n do fp o l y m o r p h i cw o r m sw i t h l l i 曲a b i l i t ya n dp o t e n t i a lh a r m ( d a n g e r o u s ) i sp r e s e n t e d ，a n dm u l t i p l e m e t a m o r p h i ct e c h n i q u e so ft h i sw o r mi sa n a l y z e d a tt h es a m et i m e ，w ea l s o a n a l y z ea n dd r a ws o m ec o n c l u s i o n so nt h el i m i t a t i o no fc u r r e n tm e t h o d s ( 3 ) an e wa p p r o a c ho fd e t e c t i n gt h ep o l y m o r p h i cw o r m s m e n t i o n e da b o v ei s i n t r o d u c e d ，t h a ti sa p p l y i n gp d g ( p r o g r a md e p e n d e n c eg r a p h ) t od e t e c t p o l y m o r p h i cw o r m s w i t ha n a l y s i so ft h ef e a t u r e so fs u c hw o r m sb e h a v i o r , w ef o u n do u tt h a tt h ef u n c t i o no fs u c hw o r m sr e m a i n st h es a m ed u r i n gt h e w h o l ep r o c e s so fa t t a c k i n g w i t ht h i sp r o p e r t y , w ep u tf o r w a r ds u c ha d e t e c t i n ga p p r o a c ht h a ta p p l i e sp d g t od e s c r i b i n gt h ec o m m o nf e a t u r e s a m o n gd i f f e r e n ti n s t a n c e so f v a r i o u sp o l y m o r p h i ew o r m s i nt h i sp a p e lan e wd i r e c t i o nf o rt h ed e v e l o p m e n to fp o l y m o r p h i cw o r m s w a si n t r o d u c e d a tt h es a m et i m e ，t h ec o r r e s p o n d i n gd e t e c t i o na p p r o a c hw a s a l s op r o v id e d ，i th a sb e e np r o v e dt h a to u ra p p r o a c hh a ss e v e r a la d v a n t a g e s ， s u c ha sg o o dd e t e c t i n ga b i l i t y ，l o we r r o r , a n da c c e p t a b l ed e t e c t i n ge f f i c i e n c y k e yw o r d s ：p o l y m o r p h i cw o r m s ；b e h a v i o r - b a s e dd e t e c t i o n ；c h a n g e o fp r o g r a m s t r u c t u r e ；c o n t r o lf l o wg r a p h ：p r o g r a md e p e n d e n c eg r a p h 原創(chuàng)性聲明和關(guān)于論文使用授權(quán)的說明 原創(chuàng)性聲明 本人鄭重聲明：所呈交的學(xué)位論文，是本人在導(dǎo)師的指導(dǎo)下， 獨立進行研究所取得的成果。除文中已經(jīng)注明引用的內(nèi)容外，本 論文不包含任何其他個人或集體已經(jīng)發(fā)表或撰寫過的科研成果。 對本文的研究做出重要貢獻的個人和集體，均已在文中以明確方 式標明。本聲明的法律責任由本人承擔。 論文作者簽名：礁墊煎e t 期：迎：望：芏一 關(guān)于學(xué)位論文使用授權(quán)的聲明 本人完全了解山東大學(xué)有關(guān)保留、使用學(xué)位論文的規(guī)定，同 意學(xué)校保留或向國家有關(guān)部門或機構(gòu)送交論文的復(fù)印件和電子 版，允許論文被查閱和借閱；本人授權(quán)山東大學(xué)可以將本學(xué)位論 文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫進行檢索，可以采用影印、 縮印或其他復(fù)制手段保存論文和匯編本學(xué)位論文。 ( 保密論文在解密后應(yīng)遵守此規(guī)定) 論文作者簽名：穩(wěn)監(jiān)2 盔導(dǎo)師簽名 山東大學(xué)碩十學(xué)位論文 第一章引言 1 1 論文研究背景與意義 i n t e r n e t 的出現(xiàn)改變了人們的交流方式，生活的方式，改變了全球的經(jīng) 濟結(jié)構(gòu)，社會結(jié)構(gòu)，使整個人類社會變成了一個地球村【1 4 】，i n t e m e t 越來越 成為人類物質(zhì)社會的不可缺少的重要組成部分，尤其是與各種大型、關(guān)鍵業(yè) 務(wù)系統(tǒng)的結(jié)合日益緊密，如黨政部門信息系統(tǒng)、金融業(yè)系統(tǒng)和企業(yè)商務(wù)系統(tǒng) 等。在全世界信息化浪潮的沖擊下，我國信息化建設(shè)也已進入了高速發(fā)展階 段，電子商務(wù)、電子政務(wù)、網(wǎng)絡(luò)金融和網(wǎng)絡(luò)媒體等蓬勃發(fā)展起來。但隨著互 聯(lián)網(wǎng)應(yīng)用的深入，網(wǎng)絡(luò)蠕蟲對計算機系統(tǒng)安全和網(wǎng)絡(luò)安全的威脅也日益增 加。特別是在網(wǎng)絡(luò)環(huán)境下，多樣化的傳播環(huán)境和復(fù)雜的應(yīng)用環(huán)境使網(wǎng)絡(luò)蠕蟲 的發(fā)生頻率增高，潛伏性變強，覆蓋面更廣，造成的損失也更大。 上世紀八十年代末m o r r i s 蠕蟲 5 】的爆發(fā)成為了網(wǎng)絡(luò)攻擊的先例，并給 社會造成了巨大的損失，顯示出它巨大的危害性和破壞力。從此吸引了一批 的研究人員對m o r r i s 蠕蟲做分析與討論，但由于當時互聯(lián)網(wǎng)沒有普及，所 以并未引起人們更多的注意。而從1 9 9 8 年c e r t ( 計算機緊急響應(yīng)小組1 因 m o r r i s 蠕蟲事件成立以來，統(tǒng)計到的i n t e m e t 安全威脅事件每年以指數(shù)【6 8 】 增長，近年來的增長態(tài)勢變得尤為迅猛。2 0 0 1 年7 月1 9 日，c o d e r e d 蠕蟲 【9 】爆發(fā)，在爆發(fā)后的9 小時內(nèi)就攻擊了2 5 萬臺計算機，造成的損失估計超 過2 0 億美元，在隨后幾個月內(nèi)該蠕蟲又產(chǎn)生了威力更強的幾個變種，其中 c o d e r e d l i 1 0 造成的損失估計超過1 2 億美元。2 0 0 1 年9 月1 8 日，n i m d a 蠕 蟲【l l 】被發(fā)現(xiàn)，對n i m d a 造成的損失評估數(shù)據(jù)達2 6 億美元并繼續(xù)攀升，到 現(xiàn)在仍無法估計。至此，針對網(wǎng)絡(luò)蠕蟲的研究才被高度重視起來并逐漸成為 熱點。2 0 0 1 年，j o s en a z a r i o 等人【1 2 】討論了蠕蟲的技術(shù)發(fā)展趨勢，給出了 蠕蟲的一個功能模型框架，并提出了很多思路，非常具有啟發(fā)意義。2 0 0 3 年開始，i n t e r n e t 蠕蟲研究開始受到更大的關(guān)注，并于l o 月2 7 日，將關(guān)于 i n t e m e t 蠕蟲的專題討論會( t h ew o r k s h o po nr a p i dm a l c o d e ( w o r m ) ) 作為 第l o 屆a c m 計算機與通信會議的附屬會議舉行。 蠕蟲是一種能夠獨立運行的程序，主要利用網(wǎng)絡(luò)中計算機系統(tǒng)存在的漏 i i j 東大學(xué)碩士學(xué)位論文 洞( v u l n e r a b i l i t y ) 進行傳染與攻擊。它的工作流程主要包括掃描、攻擊、現(xiàn) 場處理和復(fù)制四個部分，其首先通過掃描發(fā)現(xiàn)有漏洞的計算機系統(tǒng)，對目標 系統(tǒng)進行攻擊：然后完成蠕蟲主體的遷移，進入被感染系統(tǒng)并進行現(xiàn)場處理， 包括搜集信息并獲得控制權(quán)等：最后生成多個副本，重復(fù)上述過程 1 3 1 4 】。 雖然i n t e r n e t 蠕蟲常常被歸類到廣義的病毒【1 5 】中，但蠕蟲同傳統(tǒng)意義上的 病毒除了在復(fù)制和傳染方面具有相似性之外，還有很多不同點，如蠕蟲主要 以計算機為攻擊目標，病毒主要以文件系統(tǒng)為攻擊目標：蠕蟲具有主動攻擊 特性，而病毒在傳播時需要計算機使用者的觸發(fā)等。正是這些與病毒的不同 之處，導(dǎo)致傳統(tǒng)的病毒防治策略應(yīng)用到對抗蠕蟲時，基本上不再適用，所以 對i n t e m e t 蠕蟲的研究迫在眉睫。 目前，蠕蟲爆發(fā)的頻率越來越快而且結(jié)構(gòu)越來越復(fù)雜。尤其是近幾年來， 越來越多的新型蠕蟲出現(xiàn)，如多態(tài)蠕蟲，它們行蹤更加隱蔽，檢測更加困難。 這種蠕蟲可以在復(fù)制過程中通過一定的方式改變副本的形態(tài)，從而躲過依靠 特征匹配的入侵檢測系統(tǒng)的檢測。隨著代碼混淆技術(shù)及多種開源變形工具的 出現(xiàn)，多態(tài)蠕蟲的變形及隱蔽技術(shù)也日趨成熟，并被越來越多的網(wǎng)絡(luò)蠕蟲所 利用。雖然現(xiàn)在多態(tài)蠕蟲還沒有在互聯(lián)網(wǎng)上大規(guī)模的出現(xiàn)，但由于其具有極 大的潛在危害性及破壞性，近年來，國內(nèi)外眾多研究機構(gòu)都加強了對多態(tài)蠕 蟲的研究，并吸引了大量的研究工作者。而在我國，電子商務(wù)、電子政務(wù)等 這些與國民經(jīng)濟、社會穩(wěn)定息息相關(guān)的領(lǐng)域正處于蓬勃發(fā)展時期，急需信息 安全的保障，因此，解決我國的信息安全問題、避免惡意攻擊更是刻不容緩。 1 2 創(chuàng)新點 到目前為止，針對多態(tài)蠕蟲的研究文獻均建立在多態(tài)蠕蟲只能進行簡單 變形與隱蔽的假設(shè)基礎(chǔ)上，對現(xiàn)有蠕蟲變形技術(shù)及工具缺乏全面的分析與認 識。雖然多態(tài)蠕蟲還未在網(wǎng)絡(luò)上大規(guī)模的出現(xiàn)，并像m o m s 、c o d r e d 等蠕 蟲那樣給社會帶來如此巨大的危害，但隨著代碼混淆技術(shù)及變形技術(shù)的不斷 提高，其潛在的破壞性與危害性不得不引起我們的關(guān)注。所以本文試圖以多 態(tài)蠕蟲及其檢測技術(shù)為主題，對其進行系統(tǒng)及全面的分析，主要創(chuàng)新點如下： 針對現(xiàn)有多態(tài)蠕蟲檢測技術(shù)給出了系統(tǒng)及全面的分析。通過對現(xiàn)有幾類 2 山東大學(xué)碩士學(xué)位論文 檢測技術(shù)的比較，給出了它們各自的優(yōu)點與局限性，并以圖表的形式清晰全 面得對其各個方面的特點進行了總結(jié)與對比。 給出了一種能力較強的多態(tài)蠕蟲的結(jié)構(gòu)及變形方式一一可改變程序結(jié) 構(gòu)的多態(tài)蠕蟲。通過對大量文獻及現(xiàn)有變形技術(shù)的分析，給出了一種能力較 強且具有潛在危害性的多態(tài)蠕蟲，并對其多種變形方式進行了分析。同時， 本文還對現(xiàn)有檢測技術(shù)在防治該種多態(tài)蠕蟲時表現(xiàn)出的局限性進行了分析 與總結(jié)。 針對上述多態(tài)蠕蟲給出了一種新的檢測技術(shù)一一利用p d g ( 程序依賴 圖) 檢測結(jié)構(gòu)可變的多態(tài)蠕蟲。通過對該蠕蟲行為特點的深入分析，即在整 個傳播與攻擊過程中功能保持不變的特點，提出利用p d g 來描述形態(tài)各異 的蠕蟲實例間功能上的共性，以檢測該種多態(tài)蠕蟲。 1 3 組織結(jié)構(gòu) 本文第二部分介紹了目前有關(guān)多態(tài)蠕蟲及其檢測技術(shù)的研究現(xiàn)狀，包括 多態(tài)蠕蟲的結(jié)構(gòu)、常用的變形技術(shù)與工具，以及相關(guān)的檢測技術(shù)，并對近幾 年提出的一些檢測算法和思想進行了分類總結(jié)與分析。 第三部分給出了一種可改變程序結(jié)構(gòu)的多態(tài)蠕蟲，對其結(jié)構(gòu)和行為進行 了分析，并指出現(xiàn)有檢測技術(shù)在防治該種多態(tài)蠕蟲時的局限性。 第四部分針對這種程序結(jié)構(gòu)可改變的多態(tài)蠕蟲，提出了利用p d g ( 程 序依賴圖) 進行檢測的方法，并給出了詳細的檢測步驟。 第五部分給出了利用上述檢測方法進行多態(tài)蠕蟲檢測的實驗結(jié)果，并從 誤報率、漏報率等方面對該方法的可行性及局限性進行了分析與證明。 最后給出這一方向所需的進一步研究工作，并提出多態(tài)網(wǎng)絡(luò)蠕蟲研究的 若干熱點問題與展望。 山東大學(xué)碩十學(xué)位論文 第二章相關(guān)研究 2 1 蠕蟲行為及結(jié)構(gòu)分析 2 1 1 蠕蟲的定義及行為特征 1 9 8 8 年m o r r i s 蠕蟲爆發(fā)后，s p a f f o r d 為了區(qū)分蠕蟲和病毒，對病毒重新 進行了定義，他認為，“計算機病毒是一段代碼，能把自身加到其他程序包 括操作系統(tǒng)上：他不能獨立運行，需要由它的宿主程序運行來激活它一【5 】。 而網(wǎng)絡(luò)蠕蟲強調(diào)自身的主動性和獨立性。在 1 6 】中，k i e n z l e 和e l d e r 從破壞 性、網(wǎng)絡(luò)傳播、主動攻擊和獨立性4 個方面對網(wǎng)絡(luò)蠕蟲進行了定義：網(wǎng)絡(luò)蠕 蟲是通過網(wǎng)絡(luò)傳播，無須用戶干預(yù)能夠獨立地或者依賴文件共享主動攻擊的 惡意代碼。在 1 3 】中，作者認為蠕蟲具有主動攻擊、行蹤隱蔽、利用漏洞、 造成網(wǎng)絡(luò)擁塞、降低系統(tǒng)性能、產(chǎn)生安全隱患、反復(fù)性和破壞性等特征，并 給出相應(yīng)的定義：“網(wǎng)絡(luò)蠕蟲是無需計算機使用者干預(yù)即可運行的獨立程序， 它通過不停地獲得網(wǎng)絡(luò)中存在漏洞地計算機上的部分或全部控制來進行傳 播”。隨后，具有各種特征的新型網(wǎng)絡(luò)蠕蟲不斷出現(xiàn)，如具有身份認證特征 的a c c e s sf o rs a l e 蠕蟲 1 7 】、能夠在傳播過程中變化形態(tài)的多態(tài)蠕蟲等，使 蠕蟲具有智能性。因此，在文獻 1 4 】中作者對上述蠕蟲定義進行了綜合于擴 展，給出了更為全面的定義“網(wǎng)絡(luò)蠕蟲是一種智能化、自動化，綜合網(wǎng)絡(luò)攻 擊、密碼學(xué)和計算機病毒技術(shù)，不需要計算機使用者干預(yù)即可運行的攻擊程 序或代碼。它會掃描和攻擊網(wǎng)絡(luò)上存在系統(tǒng)漏洞的節(jié)點主機，通過局域網(wǎng)或 者國際互聯(lián)網(wǎng)從一個節(jié)點傳播到另外一個節(jié)點”。 從對最早蠕蟲與病毒不同點的描述，到目前對智能新型蠕蟲的定義都可 以看出，蠕蟲的主要行為特征表現(xiàn)為主動性與獨立性。它的攻擊行為可以分 為4 個階段：信息收集、掃描探測、攻擊滲透和自我推進。信息收集主要完 成對本地和目標節(jié)點主機的信息匯集；掃描探測主要完成對具體目標主機服 務(wù)漏洞的檢測：攻擊滲透利用已發(fā)現(xiàn)的服務(wù)漏洞實施攻擊：自我推進完成對 目標節(jié)點的感染。整個過程無需目標計算機使用者的觸發(fā)便可自動傳播與攻 擊，并可以通過多種途徑對網(wǎng)絡(luò)或主機系統(tǒng)造成巨大的危害，使得人們難以 4 山東大學(xué)碩士學(xué)位論文 曼曼曼曼曼! 曼曼曼曼曼曼曼皇曼皇曼曼_ 一i ii 一1 ；|i 皇曼曼量曼皇曼曼皇曼鼉曼皇曼曼曼曼曼曼曼曼皇皇曼舅曼寡 對其進行預(yù)防與檢測。 2 1 2 蠕蟲的功能結(jié)構(gòu) 通過對蠕蟲工作流程及行為特征的分析可知，網(wǎng)絡(luò)蠕蟲的功能結(jié)構(gòu)模型 可分為主體功能模塊和擴展功能模塊兩部分。具備了主體功能模塊的蠕蟲就 能夠完成復(fù)制傳播及攻擊的基本流程，而同時實現(xiàn)了擴展功能模塊的蠕蟲則 具有更強的破壞能力與生存能3 l 丁 1 3 1 1 1 4 】。如下圖所示： 圖2 1 ：蠕蟲功能結(jié)構(gòu)圖 主體功能模塊由4 個模塊構(gòu)成：1 ) 信息搜集模塊，該模塊的功能是利 用一定的搜索算法對本地或目標網(wǎng)絡(luò)進行信息搜集，如本機所處子網(wǎng)信息、 路由信息、郵件列表、對本機的信任或授權(quán)的主機等，來確定下一個要感染 的目標：2 ) 掃描探測模塊，完成對攻擊目標的脆弱性檢測，決定采用何種 攻擊滲透方式。3 ) 攻擊滲透模塊，利用上一步所獲得的安全漏洞，建立傳 播途徑；4 ) 自我推進模塊，采用各種形式生成蠕蟲副本，在不同主機間完 成蠕蟲副本傳遞。 擴展功能模塊是對除主體功能模塊以外的其他模塊的歸納或預(yù)測，主要 由4 個功能模塊構(gòu)成。1 ) 通信模塊，能使蠕蟲之間、蠕蟲通黑客之間進行 交流，利用該模塊蠕蟲間可以共享某些信息，使蠕蟲的編寫者更好地控制蠕 蟲行為：2 ) 隱藏模塊，包括對各個實體組成部分地隱藏、變形、加密以及 進程的隱藏，來提高蠕蟲的生存能力：3 ) 破壞模塊，用于摧毀或破壞被感 山東大學(xué)碩士學(xué)位論文 染主機，破壞網(wǎng)絡(luò)正常運行，在被感染主機上留下后門等：4 ) 控制模塊， 調(diào)整蠕蟲行為，控制被感染主機，執(zhí)行蠕蟲編寫者下達的指令。 2 2 多態(tài)蠕蟲的結(jié)構(gòu)及行為分析 多態(tài)蠕蟲實現(xiàn)了隱藏模塊，可以在產(chǎn)生每個實例時改變自身的表現(xiàn)形 態(tài)，使得這些實例的字節(jié)序列看起來完全不同，但完成的功能是保持不變的。 多態(tài)蠕蟲一般包括以下幾個部分：a ) 攻擊模塊：即蠕蟲在攻擊目標上建立傳 輸通道來入侵主機，如利用主機系統(tǒng)上的漏洞或利用其他蠕蟲留下的后門 等；b ) 不變量：在蠕蟲整個傳播過程中保持不變，如觸發(fā)漏洞的條件或返 回地址等：c ) 解密模塊：將加密后的蠕蟲體代碼進行解密以待執(zhí)行：d ) 蠕 蟲體代碼：一般包含了獲得主機控制權(quán)的代碼，產(chǎn)生不同變體的多態(tài)引擎代 碼，產(chǎn)生目標集的代碼和傳播代碼等 2 2 】。一個多態(tài)蠕蟲的功能結(jié)構(gòu)如圖1 所示。 蠕蟲體代碼 解密模塊 獲得控制權(quán)代碼 產(chǎn)生目標集代碼 多態(tài)引擎代碼 傳播代碼 圖2 2 ：多態(tài)蠕蟲的功能結(jié)構(gòu)圖，其中黑體部分一般蠕蟲沒有的部分 多態(tài)蠕蟲常用的變形方式有： ( 1 ) 加密變形：使用一個隨機密鑰加密蠕蟲體部分，同時產(chǎn)生一個相應(yīng) 的解密密鑰及解密部分。每次使用的密鑰都不相同，所以產(chǎn)生的蠕蟲實例的 形態(tài)也各不相同。這里所使用的加密方法一般比較簡單，只是為了達到變形 的目的。比如a d m m u t a t e 1 8 和t a p i o n 1 9 ，它們都是開源的變形工具，利 用隨機產(chǎn)生的密鑰與蠕蟲體代碼進行異或來實現(xiàn)加密。 ( 2 ) 將n o p 部分變形：比較簡單的方法是插入與n o p 等價的字節(jié)指 令，如( p u s h p o pe a x ：i n c d e ce a x ) ，其中寄存器e a ) 【未在攻擊中使用。 6 山東大學(xué)碩士學(xué)位論文 a d m m u t a t e 中列出了5 5 個這樣的一字節(jié)指令對n o p 進行處理，m e t a s p l o i t 2 0 】 對a d m m u t a t e 進行了擴展，使用了5 8 個一字節(jié)指令。也可以利用多字節(jié)指 令實現(xiàn)變形，但是由于n o p 部分要求每個字節(jié)處都可以執(zhí)行，所以多字節(jié)指 令的操作數(shù)必須能夠與某一單字節(jié)指令相對應(yīng)。另外，還可以利用跳轉(zhuǎn)指令 直接跳轉(zhuǎn)至待執(zhí)行代碼的起始位置【2 1 】。 ( 3 ) 指令替換：使用不同的指令完成相同的功能。比如指令m o v e a x ，ll o h ，可以與如下指令等價：( m o ve a x ，l o o h ；a d de a x ，1 0 h ) ，( m o ve a x ，5 h ； m o ve b x ，l l o h - 5 h ：a d de a x ，e b x ) ，或者( p u s h1 1 0 h ：p o pe a x ) 。 ( 4 ) 寄存器重命名：每次攻擊變換所使用的寄存器組。 除以上幾種常用的變形技術(shù)外，多態(tài)蠕蟲還可以通過其他途徑達到隱蔽 的目的。它通過可以學(xué)習正常網(wǎng)絡(luò)流的各種統(tǒng)計特征改變自身的傳播特征 【2 2 2 3 】，躲避網(wǎng)絡(luò)檢測系統(tǒng)通過分析統(tǒng)計信息進行的檢測。如變形工具 c l e t ，可以對正常網(wǎng)絡(luò)流進行頻譜分析并填充字節(jié)使蠕蟲代碼的字節(jié)頻率 接近正常網(wǎng)絡(luò)流的字節(jié)頻率。多態(tài)蠕蟲還可以在傳播過程中利用不同的傳輸 途徑，如使用不同的協(xié)議或動態(tài)選擇端口【2 4 】，來達到掩藏自己、躲避檢測 系統(tǒng)的目的。 2 3 多態(tài)蠕蟲檢測技術(shù) 由于網(wǎng)絡(luò)蠕蟲傳播速度快、破壞力強，要想控制其傳播、降低其帶來的 危害，就必須在蠕蟲傳播的早期階段進行檢測并能夠自動產(chǎn)生相應(yīng)的特征 值。而傳統(tǒng)的入侵檢測系統(tǒng)，如b r o 2 5 和s n o r t 2 6 等，均依賴由專家分析 并手工提取出的特征對已知蠕蟲進行檢測。這樣的檢測系統(tǒng)無法檢測出未知 的蠕蟲，而且其特征庫更新較慢，對于形態(tài)不斷變化、隱蔽性更強且傳播速 度非?？斓亩鄳B(tài)蠕蟲來說，檢測更加困難。近兩年，許多研究者提出了不同 的方法來加強多態(tài)蠕蟲的檢測，總結(jié)起來主要有兩種，一種是基于內(nèi)容的 ( c o n t e n t b a s e d ) ，另一種是基于行為的( b e h a v i o 卜b a s e d ) 。前者主要根據(jù)多 態(tài)蠕蟲的不同實例在字節(jié)序列上的相似性，進行語法級上的檢測；而后者依 靠多態(tài)蠕蟲不同的實例在功能和行為上的相似性，進行語義級上的檢測。 7 山東大學(xué)碩士學(xué)位論文 2 3 1 基于內(nèi)容的檢測技術(shù) 基于內(nèi)容的多態(tài)蠕蟲檢測技術(shù)實際上是一種從可疑網(wǎng)絡(luò)流中自動獲取 多態(tài)蠕蟲的特征，并利用這些特征完成多態(tài)蠕蟲檢測的技術(shù)。 從網(wǎng)絡(luò)流中自動提取特征的方法較早在文獻 2 7 】中提出，它將由進入 h o n e y p o t 的數(shù)據(jù)包中自動分析并查找出的公共子串( c o m m o ns u b s t r i n g s ) 做 為檢測蠕蟲的特征。隨后在2 0 0 4 年提出的e a r l y b i r d 2 8 和a u t o g r a h 2 9 中都 利用了與之類似的方法內(nèi)容過濾( c o n t e n t s i f t i n g ) ，即識別那些在網(wǎng)絡(luò)流 中重復(fù)出現(xiàn)的字節(jié)串，并根據(jù)這些字節(jié)串及其出現(xiàn)頻率來構(gòu)造蠕蟲的特征。 其依據(jù)就是蠕蟲的傳播和攻擊行為與正常的網(wǎng)絡(luò)應(yīng)用程序的行為是不同的， 而且一個多態(tài)蠕蟲源碼中總包含一些不能改變的量，如漏洞觸發(fā)條件( e x p l o i t i n v a r i a n t ) 、返回地址( r e t u ma d d r e s s ) 等。雖然這幾篇文章均提到了對多態(tài) 蠕蟲的檢測，但并沒有對多態(tài)蠕蟲的檢測進行深入研究。 文獻 2 7 ，2 8 ，2 9 】中所提出的方法雖然都能自動產(chǎn)生蠕蟲的特征，但其產(chǎn)生 的特征都是單一且連續(xù)的字節(jié)串，很容易被具有復(fù)雜變形技術(shù)的多態(tài)蠕蟲所 規(guī)避。因此，隨后不斷有新的改進算法提出。其中比較有代表性的有： 2 0 0 5 年n e w s o m e 等人提出的p o l y g r a p h 3 0 】，不再使用單一連續(xù)的字節(jié) 串，而是將多個不連續(xù)子串( t o k e n s ) 的集合作為特征。不同于之前的檢測 系統(tǒng)，p o l y g r a p h 首先利用一個網(wǎng)絡(luò)流分析器將可疑的數(shù)據(jù)流從正常的數(shù)據(jù)流 中分離出來，并從中提取出特定長度且出現(xiàn)次數(shù)超過某一閾值的子串。然后 在所有子串中找出那些在每個可疑數(shù)據(jù)流中都頻繁出現(xiàn)過的子串，這些子串 組成的集合就是蠕蟲特征。作者在文中給出了三種類型的特征，無序子串集 合、有序子串集合及帶權(quán)重的子串集合，分別在精確度和靈活度上有所不同。 當有關(guān)漏洞的字節(jié)串不常出現(xiàn)在協(xié)議正常使用部分的時候，該方法會具有較 高的準確度：但如果這些字節(jié)串也常出現(xiàn)在普通數(shù)據(jù)中，其誤報率會比較高。 2 0 0 6 年提出的h a m s a 3 l 】，對之前的一些方法進行了改進與擴展。與 p o l y g r a p h 類似，h a m s a 首先對網(wǎng)絡(luò)流進行分類，在可疑數(shù)據(jù)流中提取子串。 所不同的是h a m s a 認為在對網(wǎng)絡(luò)流進行分類時可能會產(chǎn)生誤報，即可疑數(shù)據(jù) 流中可能含有正常的數(shù)據(jù)流，因此，只要某子串曾在大部分可疑數(shù)據(jù)流中出 山東大學(xué)碩士學(xué)位論文 現(xiàn)過，就作為組成特征的子串集合的一個元素。而且作為檢測蠕蟲的特征時 這些子串的排列是無序的，對出現(xiàn)次數(shù)也有限制。同時作者還指出，能作為 特征的子串不僅應(yīng)該在可疑數(shù)據(jù)流中是經(jīng)常出現(xiàn)的，還應(yīng)該在正常數(shù)據(jù)流中 是很少出現(xiàn)的?；谝陨峡紤]，作者對前面提出的算法進行了改進，在一定 程度上降低了誤報率。 在基于內(nèi)容的各種入侵檢測技術(shù)中，所提取的特征都是字節(jié)串形式的。 提取足夠長的字節(jié)串能減小與正常網(wǎng)絡(luò)數(shù)據(jù)匹配的可能性，從而降低系統(tǒng)的 誤報率；而同時，過長的字節(jié)串又會降低對多態(tài)蠕蟲的敏感性，導(dǎo)致高漏報 率。由于多態(tài)蠕蟲使用的一些變形技術(shù)可以有效地妨礙這兩個目標的實現(xiàn)， 因此基于內(nèi)容的檢測技術(shù)將面臨很大的挑戰(zhàn)。 2 3 2 基于行為的檢測技術(shù) 雖然多態(tài)蠕蟲可以應(yīng)用變形技術(shù)使自己的字節(jié)序列不斷變化，但蠕蟲的 行為特征是難于變化的，即各個蠕蟲副本所完成的功能是不變的。于是許多 研究者提出可以利用獲取到的多態(tài)蠕蟲的行為特征達到檢測蠕蟲的目的。目 前已經(jīng)有許多有價值的基于行為的入侵檢測技術(shù)被提出，大致分為兩個方 向，分別是利用靜態(tài)分析的檢測技術(shù)和利用動態(tài)分析的檢測技術(shù)。前者主要 通過指令序列的結(jié)構(gòu)及語義來分析蠕蟲的行為，而后者則在蠕蟲代碼真正運 行時進行分析。 2 3 2 1 靜態(tài)分析 2 0 0 3 年在文章 3 2 】中作者就提出了利用程序分析中的靜態(tài)分析技術(shù)來檢 測可變形的惡意代碼，這些惡意代碼包括病毒、蠕蟲、木馬、后門及探測軟 件。但作者給出的檢測系統(tǒng)原型只適合于對變形蠕蟲的檢測。該方法第一次 將控制流程圖應(yīng)用到病毒的檢測中，并在進行靜態(tài)分析時用控制流程圖描述 待檢測的代碼段。雖然該文章對多態(tài)蠕蟲的檢測涉及很少，但其提出的思想 為后來多態(tài)蠕蟲檢測技術(shù)的研究提供了新的思路。 2 0 0 4 年r u b i n 等人在文章 3 3 】中提出了一種通過分析已知攻擊實例自動 產(chǎn)生各種攻擊變體的方法，應(yīng)用于t c p 及其上層協(xié)議。該方法依據(jù)同一攻擊 的不同實例之間可以相互轉(zhuǎn)換，給出了一個測試網(wǎng)絡(luò)入侵檢測系統(tǒng)( 如s n o r t ) 9 山東大學(xué)碩士學(xué)位論文 和進行攻擊分析的工具a g e n t 。a g e n t 根據(jù)某些特定的規(guī)則，如插入 一些正常的f t p 命令或?qū)⒁粋€t c p 包分割成幾個t c p 包，利用由一個攻擊 實例不斷的推導(dǎo)出其他的攻擊實例，并用推倒出的實例來測試現(xiàn)有的入侵檢 測系統(tǒng)，或作為檢測蠕蟲的特征。 2 0 0 5 年m i h a i 等人提出了一個用于惡意行為檢測( m a l d e t e c t i o n ) 的方 法 3 4 】。該方法事先將惡意行為抽象成行為模板，然后針對來自網(wǎng)絡(luò)流且經(jīng) 過反匯編的代碼片段，通過一個匹配過程與模板進行匹配，檢測該代碼片段 是否包含某一模板所定義的惡意行為。在建立模板時，作者使用了一種特殊 的中間表示指令i r ( i n t e r m e d i a t er e p r e s e n t a t i o n ) ，具體的寄存器、函數(shù)和常 量均用符號代替，這種抽象的描述方法能提高與多態(tài)蠕蟲匹配的靈活性。當 要檢測一段指令序列是否與模板相匹配時，首先將指令轉(zhuǎn)換成m 形式，并 將模板置于該執(zhí)行上下文中，若指令序列的行為與模板的行為相同，則表示 與模板相匹配。同時，作者提出了匹配過程中行為相同的定義，即它們對內(nèi) 存的操作及影響是相同的，并利用該定義，設(shè)計了相關(guān)的模板匹配算法。但 該方法也存在一定的問題，首先，多態(tài)蠕蟲是否具有一個統(tǒng)一的行為模式， 即統(tǒng)一的抽象行為模版，如果不是，這樣的模板又是否能在檢測過程中自動 生成。其次，對行為相同的定義應(yīng)掌握在怎樣的程度上，如若過于嚴格則會 導(dǎo)致高漏報率，而過于寬松則會導(dǎo)致高誤報率。 2 0 0 5 年k r u e g e l 等人在 3 5 】中提出通過分析蠕蟲程序的結(jié)構(gòu)來識別同一 蠕蟲不同實例之間結(jié)構(gòu)上的相似性( s i m i l a r i t y c f g ) 。這一方法的前提是同 一蠕蟲的各個實例都包含了一個類似的可執(zhí)行部分，比如蠕蟲的解密部分。 該方法首先根據(jù)反匯編得到機器指令畫出蠕蟲程序的控制流程圖( c f g ) ，圖 上的每個節(jié)點表示一個基本指令序列，該序列中不包括任何跳轉(zhuǎn)指令。然后 檢測算法通過在所有控制流程圖中尋找同構(gòu)k 子圖判斷是否有相似的行為 發(fā)生，當這樣的行為出現(xiàn)次數(shù)大于某一特定值時就認為有蠕蟲行為發(fā)生( 類 似于e a r l y b i r d ) 。作者使用一個1 3 位二進制的顏色值來填充控制流程圖的節(jié) 點，每一位代表一種不同類型的指令，比如數(shù)據(jù)傳輸指令、算術(shù)指令等。這 種方法可以增加對多態(tài)蠕蟲使用指令替換進行變形的敏感性。如果兩個控制 流程圖有k 子圖同構(gòu)且節(jié)點顏色相同，即具有相同的執(zhí)行流程且使用的指令 類似，則認為具有相同的行為。這樣重復(fù)出現(xiàn)的k 子圖就作為檢測蠕蟲的特 1 0 山東大學(xué)碩士學(xué)位論文 曼曼皇皇曼曼曼曼曼曼! 量蔓皇曼曼曼皇曼曼皇皇皇曼曼鼉舅m l mmmm 鼉皇曼曼曼鼉曼! ! 曼 征。雖然作者提出了一個很好的方法，但是有些地方還需要進一步的考慮。 比如對于使用多態(tài)技術(shù)的蠕蟲來說解密部分是否足以用于檢測：著色技術(shù)如 果被攻擊者使用，可能會對檢測產(chǎn)生負面影響，如使用不同類型的指令進行 替換：無法檢測小于k 個節(jié)點的子圖：效率問題等。 2 0 0 5 年a k r i t i d i s 等人提出了一種針對緩沖區(qū)溢出攻擊的檢測方法 s t r i d e 2 6 】。緩沖區(qū)溢出攻擊是目前攻擊者最常使用的一種攻擊方式，其攻擊 代碼中一般包含一個s l e d 部分使控制流程準確的轉(zhuǎn)移到待執(zhí)行的蠕蟲代碼 的起始位置，提高攻擊的成功率。作者利用這一特征設(shè)計了一個通過檢測代 碼中的s l e d 而完成對多態(tài)蠕蟲檢測的方法。該方法從每個字節(jié)處開始檢查連 續(xù)的n 字節(jié)序列，查看是否從這個n 字節(jié)序列的每個字節(jié)處開始到序列結(jié)束 都是合法的指令。如果是，則認為這個n 字節(jié)序列是s l e d 部分，因為它的行 為特征是無論返回地址落在s l e d 的任何位置，都可以順序執(zhí)行到蠕蟲代碼的 起始處。但這個方法只能針對緩沖區(qū)溢出攻擊，而且攻擊者可以使用不帶s l e d 的攻擊形式，所以在檢測范圍上有一定的限制，但它體現(xiàn)了對蠕蟲的行為特 征進行分析的思想。 2 0 0 5 年在文章 3 6 】中c h i n c h a n i 等人也提出了一個基于靜態(tài)分析技術(shù)的 多態(tài)蠕蟲檢測方法，通過在網(wǎng)絡(luò)流中查找有意義的數(shù)據(jù)及提取控制流程圖來 區(qū)分隨機數(shù)據(jù)、普通程序及類似程序的攻擊代碼，并自動產(chǎn)生蠕蟲特征阻塞 被識別出的攻擊。與文章【3 5 類似，作者利用反匯編得到網(wǎng)絡(luò)流中的指令序 列，并通過對指令的匯聚與分析得到相應(yīng)的控制流程圖，然后通過對控制流 程圖的分析推測是否有蠕蟲攻擊發(fā)生。與其不同的是生成多態(tài)蠕蟲特征的方 式，文章【3 5 】中利用控制流程圖的結(jié)構(gòu)信息及基本塊內(nèi)所出現(xiàn)指令的類型作 為特征。而文章 3 6 】中依然使用代碼片段作為蠕蟲特征，但為了適應(yīng)多態(tài)蠕 蟲的檢測，將其可變形部分用符號“ 代替。作者還在文章中描述了實現(xiàn) 該思想的檢測系統(tǒng)原型，包括4 個主要部分：網(wǎng)絡(luò)流量檢測器，內(nèi)容過濾器， 惡意程序分析器和攻擊代碼識別器。其中攻擊代碼識別器組成了該系統(tǒng)的核 心部分，其余部分輔助它完成整個檢測工作并提高檢測的精確度。 2 0 0 6 年在文章 3 7 】中作者針對可變形的惡意代碼提出了另外一種基于靜 態(tài)分析技術(shù)的檢測方法，將代碼優(yōu)化技術(shù)應(yīng)用到惡意代碼的監(jiān)控與檢測中。 通過對惡意代碼變形過程的分析可知，原始的惡意代碼在自我復(fù)制過程中會 山東大學(xué)碩士學(xué)位論文 利用插入垃圾指令、指令替換等方式達到變形的目的，即變形后的代碼往往 會包含許多冗余和無用指令。作者在文中將這個變形的過程看作是與代碼優(yōu) 化相反的一個過程。因此，文中提出的檢測方法利用各種代碼優(yōu)化技術(shù)將待 檢測的可執(zhí)行代碼進行化簡，如消除無用指令、化簡代數(shù)表達式及壓縮控制 流程圖等，得到可執(zhí)行代碼的最簡形式，并用控制流程圖來描述。而經(jīng)過化 簡和優(yōu)化后的惡意代碼應(yīng)接近于其變形前的原始代碼。將處理后的可執(zhí)行代 碼與已知的惡意代碼的控制流程圖相匹配，確定兩者是否具有相同的特征， 以判斷是否有攻擊發(fā)生。在匹配時，作者利用節(jié)點數(shù)、邊數(shù)、直接和間接調(diào) 用數(shù)及跳轉(zhuǎn)指令數(shù)組成的向量來描述一個控制流程圖，并通過向量之間計算 來判斷兩個控制流程圖的相似程度。雖然作者提出該方法主要針對可變形病 毒的檢測進行了分析與測試，但這一思想同樣適用于多態(tài)蠕蟲的檢測，并未 其檢測技術(shù)的研究提供了新的思路。 還有其他一些這方面的文章，如2 0 0 5 年p a y e r 等人提出一個混合的多態(tài) 蠕蟲檢測方法【3 8 】。它利用神經(jīng)網(wǎng)絡(luò)監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)，并結(jié)合其他幾種常用的 檢測方法，如s l e d 檢測等。 以上幾篇比較典型的利用靜態(tài)分析進行多態(tài)蠕蟲檢測的文章，均提出了 一些比較新的研究思路和方法，但也存在許多問題值得進一步研究。比如蠕 蟲的可執(zhí)行部分是否能充分體現(xiàn)它的惡意行為及各個攻擊實例間的相似性。 還有效率問題，無論是對二進制流的反匯編，還是對指令序列結(jié)構(gòu)的分析及 匹配，較之于內(nèi)容過濾的方法開銷都比較大。 2 3 2 2 動態(tài)分析 由于一些阻礙反匯編