随着最近几年恶意软件的成熟和发展，研究人员更难分析恶意软件的样本了。很多恶意软件的制造者在程序中增加一项功能，可以检测这些程序是在物理机还是在虚拟机上运行。而这些功能是研究人员用于观察新的恶意软件样本行为的工具。

　　但是下个月，Black Hat会议将会发布的新的分析工具可以使善意人士具有优势。Damballa Inc.的主要研究员Paul Royal开发了一种叫做Azure的新工具。它利用英特尔芯片中的虚拟扩展技术（virtualization extensions，VT）来规避恶意软件对虚拟机和物理机的检查。因为虚拟扩展（VT）存在于硬件级别上，是在主机操作系统级别以下的。恶意软件没有能力检测Azure，这样研究人员就可以分析未受阻止的行为。

　　Royal说：“整体的观念就是规避客户机操作系统，所有恶意软件就不可能检测到你，并发出攻击。英特尔的VT不存在in-guest方法的弱点，因为它完全是外部的。其它的使用system emulators，但是如果emulators比较机警，一切都会完全正确。”

　　Royal计划在Black Hat上发布Azure的源代码，而且这款工具将可以下载。他已经在过去的几个月里测试了这款工具的效力，发现它在拆封恶意软件方面的性能非常优秀。而这些恶意软件过去包含在数十个通常使用的信息包中，包括到处存在的UPX和Armadillo。Azure可以拆封他说测试的15个样本，而调试工具Saffron可以拆封15个中的10个；恶意软件分析工具Renovo则是15个中的12个。

　　英特尔的VT是在公司一些芯片上增加的延伸技术，可以帮助完成硬件上的虚拟化，而不是在软件层面。VT技术是为帮助企业更好地使用它们的硬件资源和节省能源而设计的。但是Royal说VT可以为恶意软件分析师和安全研究人员提供有力的帮助。

　　他说：“恶意软件所作的是使用物理处理器上的无正式文件的说明。在VT中，比较棘手的部分是他们不是为恶意软件分析师而设计的，但是我将会提到的是，它对恶意软件分析师而言具有绝对优势，以及使用API hooking检测全面的system emulation的方法。对于你是怎么做的并不明显，所以人们才没有考虑到它。”

　　Royal说：“恶意软件已经成为网络犯罪的工具。了解恶意软件的目的非常重要。我们需要了解它的行为，而它的行为暗示了它的目的但是恶意软件的作者也不会不做任何抵抗地放弃他们的工作。”

　　Royal说他仍然忙于为Azure的以后的新版本增加新功能，包括精确自动化拆封器和系统呼叫跟踪器。他将会在八月6日举行的洛杉矶Black Hat大会上公布工作的细节。

微信公众号

TechTarget

官方微博

TechTarget中国