基于網絡協(xié)議逆向分析的遠控木馬漏洞挖掘.pdf

1、針對現(xiàn)今APT攻擊中重要的遠程控制木馬手段，本文提出了一種主動防御思路，即針對不公開源代碼和網絡協(xié)議的遠控木馬程序進行漏洞挖掘和癱瘓攻擊。我們通過深入分析Gh0st和Poison Ivy等著名遠控木馬的通信協(xié)議，掌握了遠控木馬網絡協(xié)議的一般通信原理和協(xié)議格式，從而研究設計出了一套針對遠控木馬未知網絡協(xié)議進行逆向分析的算法，并最終結合成熟的Fuzz測試框架對遠控木馬的控制端代碼進行漏洞挖掘，繼而實施主動攻擊。
　　本文首先使用廣義后

2、綴樹和分層次聚類等數(shù)據(jù)挖掘的算法來逆向分析遠控木馬網絡協(xié)議的特征，自動構造其協(xié)議格式。接著通過Angluin算法展開狀態(tài)機學習器與遠控木馬的網絡通信進行交互，在學習過程中不斷發(fā)現(xiàn)遠控木馬協(xié)議狀態(tài)機中新的狀態(tài)，從而獲取木馬的網絡協(xié)議狀態(tài)機。然后在此基礎上，再和Peach這款成熟的Fuzz測試框架結合起來，導入之前逆向分析出來的協(xié)議格式與協(xié)議狀態(tài)機來自動生成Fuzz的配置文件，通過引入協(xié)議格式與狀態(tài)模型的元素來收斂樣本的生成，從而較大程度避