#具有逃逸行为的恶意样本
局限:不能破解加密路径;因为符号执行解决不了加密条件。
1. 07SP恶意软件分析-多路径探索
杀毒公司提供的308个真实恶意样本,来自92个恶意软件家族。其中229个访问了trigger,172个使用trigger作为条件分支。
评估1.覆盖率的提升
对比:样本执行的基本块数量
实验:探索额外分支覆盖的基本块数量
对符合标准的172个样本,计算覆盖率的提升。
评估2.样本行为分析
提到的样本
| 样本 | 行为 |
|---|---|
Win32.Plexus.B worm |
只有文件名包含upu.exe,样本才会执行负载。 |
Blaster |
仅在8月15之后(特定日期和时间段)执行恶意行为,DDoS攻击。 |
Kriz |
系统文件夹下包含KRIZED.TT6时,执行恶意行为。 |
rxBot |
接收IRC服务器指令执行不同恶意行为。 |
2. MineSweeper
MyDoom
Win32.MyDoom邮件蠕虫,DDoS时间攻击。GetSystemTimeAsFileTime
NetSky
Win32.NetSky是一个win32蠕虫,2004年,时间触发功能,GetLocalTime。
DDoS tools(TFN)
网络接口ICMP作为trigger。
Perfect KeyLogger
基于窗口标题触发,GetWindowTitle
3. BitScope
###Trin00
僵尸程序触发DDoS攻击。linux僵尸,论文移植到了win。搞事情。
TFN2K
linux
SDBot
SDBbot 04b,首先调用GetModuleFileName,GetSystemDirectory和CopyFile,使得SDBot复制自己到Windows系统目录下;接着调用RegCreateKeyEx和RegSetValueEx来创建注册表键值使它开机自启;最后调用InternetGetConnectedState,休眠。
其余,sdbot 2311、ircbot 0045/004d、q8bot。