Win32PE病毒及其检测

论文摘要

本文首先对当前形式下的病毒和反病毒技术以及它们的对抗关系进行了深入研究和总结,并指出当前反病毒技术的两个难点,其一是在逐渐成熟的病毒技术中,多态、变形病毒使得反病毒技术面临新的挑战;其二,目前的代码仿真技术在反病毒中占有重要地位,但因为它的一些先天缺陷使得它很容易被某些技术反制。本论文针对上述两个难点分别提出了“机器指令间相关性”在病毒检测中的应用和“基于反汇编器的异常引导的病毒检测平台”。在研究针对多态、变形病毒的检测方法中,发现这些病毒代码的复杂多变反而成为暴露它们的特征。因为这些病毒往往会采用等价指令替换、寄存器置换、垃圾指令填充等技术来使得在病毒实体中找不到可被利用的特征码,然而正是这些技术使得它们指令序列中的指令与指令间的转移关系和其它程序不一样。具体实验验证过程如下:首先从Windows系统目录、开源软件中获取大量PE程序,接着对这些文件进行反汇编,并在反汇编过程中记下给定指令出现的次数,以及该指令紧邻的后续指令的类型及其出现次数,最后将这些数据进行处理,得到给定的一条指令转移到其它指令的概率,本文将这样的转移概率做到了四个连续的指令,并将这些概率做成数据文件,称其为指令相关性图。在随后的文件检测实验中,对被测试文件进行反汇编,并以若干连续指令为单位到指令相关性图中查找对应的概率值,并通过Matlab将这些概率值绘制成直观的图形。这些实验表明利用指令间的相关性作为启发式规则去检测病毒,特别是多态变形病毒是可行的。“基于反汇编器的异常引导的病毒检测平台”的思想是让被检测文件直接运行,并针对由此引发的一系列问题进行深入地探讨。该平台通过对运行中的被检测程序设置断点的方法来保证那些会对系统安全构成威胁的API函数不会被调用执行,而设置断点的位置是通过一个递归反汇编器来发现的。运行中的被检测程序和反汇编器之间的通信则是通过结构化异常处理函数来实现的。论文对该平台面对的各种难点问题都提出了基本的解决方案,理论表明该平台是可以实现的。如果上述两个技术能够在反病毒领域应用实施,必定能够显著地提高反病毒产品的病毒检测能力。

论文目录

摘要

Abstract

第1章绪论

1.1 病毒与反病毒技术现状

1.2 病毒与反病毒技术对抗

1.3 本论文的意义

1.4 组织结构

第2章病毒与反病毒技术

2.1 病毒的基本功能结构

2.1.1 重定位

2.1.2 获取API 函数地址

2.1.3 搜索感染目标文件

2.2 病毒的扩展功能结构

2.2.1 结构化异常处理

2.2.2 内存文件映射

2.2.3 内存驻留技术

2.2.4 稳定性保证技术

2.2.5 隐藏技术

2.3 文件感染策略

2.3.1 获取控制权的策略

2.3.2 病毒体放置策略

2.4 病毒检测策略

2.4.1 特征码扫描

2.4.2 启发式检测

2.4.3 行为阻断

2.4.4 沙箱技术

2.5 小结

第3章病毒与反病毒技术的对抗

3.1 代码仿真技术

3.1.1 代码仿真的目的

3.1.2 实现及优缺点

3.2 病毒保护技术

3.2.1 反反汇编技术

3.2.2 反调试、反跟踪技术

3.2.3 反仿真技术

3.2.4 其它保护技术

3.3 高级代码演化技术

3.3.1 加密技术

3.3.2 多态技术

3.3.3 变形技术

3.3.4 代码整合

3.4 小结

第4章机器指令间相关性

4.1 引子——对当前现象的思考

4.2 概述及原理

4.2.1 相关性术语的定义

4.2.2 相关性检测的可行性

4.3 实验平台的建立

4.3.1 系统框图

4.3.2 反汇编器

4.4 获取指令特征参考值

4.4.1 文件来源

4.4.2 数据存储结构

4.4.3 处理结果

4.5 文件指令特征检测

4.5.1 检测方法

4.5.2 正常文件与病毒的转移概率检测

4.5.3 汇编语言生成的PE 程序转移概率检测

4.5.4 特殊病毒转移概率的检测

4.6 小结

第5章基于反汇编器的异常引导的病毒检测平台

5.1 平台介绍

5.1.1 平台运行流程描述

5.1.2 平台实现中涉及的问题

5.1.3 安全性保证策略

5.2 平台体系架构

5.2.1 预处理系统

5.2.2 反汇编系统

5.2.3 断点处理系统

5.2.4 API 函数的处理

5.2.5 注入代码的功能

5.2.6 病毒检测系统

5.3 应用分析

第6章结论

参考文献

致谢

Win32PE病毒及其检测

论文摘要

论文目录

相关论文文献

猜你喜欢