本文介绍了Robusta项目,旨在隔离不可信的本地代码并控制其潜在风险;同时探讨了SMIT恶意软件索引树,一种用于大规模恶意软件索引及快速定位的方法。
ACM CCS 2010
Robusta: taming the native beast of the JVM
Joseph Siefers, Gang Tan, Greg Morrisett
Pages: 201-211
doi>10.1145/1866307.1866331
主要的工作:isolate untrusted code (native lib) from a trusted environment (JVM),控制调用Java以外的其他lib产生危险的可能;为native lib建造一个沙箱,然后调用Java Security Manager来做统一的安全监察。
Robusta就是这个沙箱的名字。
TODO
1、SFI (software-based fault isolation) [18][34]
2、Java Security Manager
专有名词:
JNI: Java Native Interface - 从字面上看应该是一个Java调用native函数的接口
ACM CCS 2009
Large-scale malware indexing using function-call graphs
Xin Hu, Tzi-cker Chiueh, Kang G. Shin
Pages: 611-620
doi>10.1145/1653662.1653736
本文的主题,就是用function-call graph来描述恶意软件,然后把它放在数据库里,然后提供快速查找定位的index方法。
成果:一个恶意代码的DBMS,名字叫SMIT(Symantec Malware Indexing Tree)。
本文是作者1,2在Symantec Research Lab中的工作。
文中的方法据称,不是signature-based(无法处理obfuscation,无力查找新的malware sample),也不是behavior-based(会有runtime overhead,会引发很多false positive);使用了function-call graph的提取,来表示整个程序的特性;我的感觉是它应该是两者的结合,利用了behavior的signature。
function-call graph是一种high-level structure,不是bytelevel/instruction level的(太低层的结构可以被obfuscation工具微小修改而改变);
Obfuscation技术有instruction reordering, equivalent instruction sequence substitution, branch inversion。
非常重要的信息:
在处理malware流程的第一步是确定malware是否是malicious的,而这一步是处理malware的瓶颈所在,目前都手工完成。
Behavior based software theft detection
Xinran Wang, Yoon-Chan Jhi, Sencun Zhu, Peng Liu
Pages: 280-290
doi>10.1145/1653662.1653696
本文的主题就是检测软件剽窃,利用了system call dependency graph来制作birthmark这个东西。
TODO
1、[16]E. Kirda et al. Behavior-based spyware detection. Usenix Security 2006.
2、自己开发的一个dynamic分析工具 - Hawk
扫一扫
3220
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
