[论文解读] Metamorphic Virus Variants Classification Using Opcode Frequency Histogram
本文提出一种静态分析方法,通过操作码频率直方图与欧几里得距离,检测尽管存在代码混淆仍具行为相似性的变形病毒变种。该方法通过分析指令级模式而非字符串,有效识别出一种变形病毒的形态变种,表明基于操作码的签名可规避传统基于字符串的检测绕过策略。
In order to prevent detection and evade signature-based scanning methods, which are normally exploited by antivirus software, metamorphic viruses use several various obfuscation approaches. They transform their code in new instances as look entirely or partly different and contain dissimilar sequences of string, but their behavior and function remain unchanged. This obfuscation process allows them to stay away from the string based signature detection. In this research, we use a statistical technique to compare the similarity between two files infected by two morphed versions of a given metamorphic virus. Our proposed solution based on static analysis and it uses the histogram of machine instructions frequency in various offspring of obfuscated viruses. We use Euclidean histogram distance metric to compare a pair of portable executable (PE) files. The aim of this study is to show that for some particular obfuscation methods, the presented solution can be exploited to detect morphed varieties of a file. Hence, it can be utilized by non-string based signature scanning to identify whether a file is a version of a metamorphic virus or not.
研究动机与目标
- 解决通过代码混淆逃避基于签名的杀毒工具检测的变形病毒变种检测挑战。
- 开发一种非基于字符串的检测方法,能够识别已知变形病毒的形态变种。
- 评估操作码频率直方图是否可作为分类变形病毒变种的稳定且具有区分性的特征。
- 证明利用基于直方图的相似性度量进行静态分析在恶意软件家族识别中的可行性。
提出的方法
- 该方法从受不同形态变种的变形病毒感染的可移植可执行(PE)文件的机器代码中提取操作码序列。
- 为每份受感染文件构建操作码的频率直方图,以表示指令类型的分布。
- 计算两个操作码频率直方图之间的欧几里得距离,作为衡量两个PE文件相似性的指标。
- 将欧几里得距离较低的文件视为同一变形病毒家族的变种。
- 该方法完全依赖静态分析,避免动态执行或行为监控。
实验结果
研究问题
- RQ1操作码频率直方图能否可靠地区分不同形态变种的变形病毒?
- RQ2操作码直方图之间的欧几里得距离在混淆病毒实例中与实际代码相似性之间的相关性有多大?
- RQ3即使字符串内容和代码结构发生显著变化,该基于直方图的方法是否仍能检测到变形病毒变种?
- RQ4所提出的方法是否有效识别出新形态变种属于同一病毒家族,而无需依赖字符串签名?
主要发现
- 所提出的方法成功基于操作码频率直方图与欧几里得距离对变形病毒的形态变种进行了分类。
- 由同一变形病毒家族感染的文件在操作码直方图中表现出较低的欧几里得距离,表明其具有高度相似性。
- 该方法对常见混淆技术(如改变字符串内容和控制流)表现出鲁棒性,同时保持功能行为不变。
- 结果表明,操作码频率直方图可作为稳定且非基于字符串的签名,用于检测变形病毒变种。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。