[分析引擎开发笔记]硬件模拟器

2013-12-18 Nie.Meining Life

最初选择硬件模拟器作为基础架构,主要出于以下几个方面考虑:

1. 可以模拟多种硬件架构,这样针对不同的分析环境提供统一的分析方法,如x86架构的Windows/Linux系统、arm架构的Android系统等……

2. 这种软件模拟硬件的方法,容易从虚拟硬件层提取原始数据进行分析,实现不对虚拟操作系统做任何更改,在对抗检测虚拟机的样本时,有一定优势。不过硬件模拟器这种译码执行的方式也肯定会带来性能损失……

3. 方便在不修改虚拟操作系统的情况下实现远程屏幕控制。我们正在测试的深度分析客户端截图:

image003.pngimage005.png

 

4. 能够实现指令级细粒度分析,不存在控制权转移的问题(我们下一阶段有支持污点传播的打算);

5. 这是一种相对轻量级的实现方式,方便动态分配资源、镜像等进行批量自动分析。例如我们打算开放测试的web服务。网站正在开发中,bug还挺多,另外我们做了一个跟流量分析器整合的专有设备,流量分析器采集网络流量并分离样本,后台针对样本类型以快照方式启动特点镜像并加载特点快照展开分析。针对目前我们采用的服务器的统计信息,每个样本平均分析时间大概2分钟左右,可以并行分析40个。效果还不错;

6. 考虑到以后添加一些特殊的功能,例如加速时间、系统暂停等;

7. 学习FireEye……

发表评论:

Powered by emlog