全系统盒外动态分析是一种从目标二进制代码执行环境的外部对目标二进制代码进行动态分析的技术。该技术为执行环境和分析环境提供了良好的隔离,目标系统最大程度保持了原有形态,分析过程不易受到干扰,分析结果能更好的反映目标系统的实际属性。该技术的有效性已在通用平台上恶意代码分析、攻击和检测等技术的相关研究中得以验证。该技术在嵌入式领域的相关研究相对通用平台明显滞后,本文旨在为ARM架构上恶意行为分析、攻击和检测等工作提供全系统盒外动态分析技术、全系统视图提取技术、代码完整性验证等能力,并力求具有良好的平台可扩展性。ARM架构处理器在智能终端领域占据的市场份额高达90%以上。根据Gartner公司的统计和预测,2012年全球共有16亿台基于ARM架构的互联网接入设备,2017年将达到40亿台。针对ARM嵌入式系统的新的攻击技术不断出现,其安全性问题越显严峻。本文的研究对于嵌入式系统的安全防御具有重大的现实意义。本文在嵌入式领域相关技术研究现状总结的基础上,阐述了一个适用于ARM架构恶意代码行为分析的全系统动态分析框架QUEST的架构和设计,接着重点阐述了ARM架构全系统视图提取技术中light-VMI的设计,最后阐述了基于全系统动态分析框架QUEST和全系统视图提取技术基础上实现的一种可用于控制流劫持攻击检测的全系统CFI验证技术的实现。本文主要工作如下:1.基于对全系统仿真器QEMU的插桩构建了一款能够适用于ARM架构且具有良好平台扩展性的全系统盒外动态分析框架QUEST。该框架采用两级回调函数插桩技术实现对指令执行、系统调用、基本块缓存和PGD置换等事件的监测分析,并能在虚拟硬件层为代码动态分析和全系统语义视图提取提供底层支持。QUEST所实现的全系统盒外动态分析技术是基于虚拟硬件层来实现的,能为ARM架构上恶意代码分析提供更细粒度和更精确的分析手段。2.基于全系统盒外动态分析框架QUEST实现了一个能实现全系统语义视图提取的轻量级虚拟机自省机制light-VMI。该机制为了有效解决语义断层问题,实现了对目标操作系统的进程级语义信息的重构和基于函数名恢复的代码执行语义重构,并可根据目标操作系统中语义信息变化同步更新QUEST中缓存的自省语义视图信息,为目标系统中语义级行为观测提供更有效的技术有段。基于light-VMI技术构建的进程列表提取自省程序,从硬件级对进程列表进行重构,能够有效检测出目标系统中被隐藏的进程,包括使用直接内核对象操作技术隐藏的进程。3.基于全系统动态分析框架QUEST和全系统视图提取技术实现了一种可用于控制流劫持攻击检测的全系统CFI验证技术,构建了ARM架构上两种控制流劫持攻击的实例:缓冲区溢出漏洞利用和ROP攻击,并给出了基于全系统CFI技术实现对这两类攻击的检测方法。本文还分别对以上三部分进行评估测试,结果表明,本文研究的全系统盒外分析、全系统语义视图提取、全系统CFI验证等技术能有效支持对ARM架构的恶意行为分析和攻击检测。