首页> 正文

基于带权欧氏距离的壳检测与脱壳技术的研究

2020-12-07阅读(689)

基于带权欧氏距离的壳检测与脱壳技术的研究

论文摘要

壳的出现,使软件保护进入了一个新的时代。加壳技术已广泛应用于软件保护,在软件逆向分析、软件解密和恶意软件检测等过程中,软件脱壳已成为十分重要的环节之一。软件壳检测是脱壳的前提,它为后续的脱壳工作奠定坚实的基础。目前,较成熟、应用广的壳检测算法大多基于壳特征,通过建立壳特征库、查询特征串来判断待测文件是否加壳,但这些算法无法检测特征库以外的特征串,且易被欺骗。本文重点围绕软件壳检测算法进行研究。首先,介绍了国内外PE文件壳检测、脱壳技术的现状及相关软件,对这些技术作了深入的分析;重点探讨了可选映像头、区块、输入表以及资源等其他相关结构,侧重剖析了PE文件格式。其次,为了提高检测率,当前的PHAD采用了基于特征向量的壳检测技术,但由于PHAD中的特征向量不能充分反映加壳文件的特征,再加上向量中每个元素具有相同的权重,使得漏报率、误报率偏高。本文针对这些缺陷,在PHAD的基础上,采用增加特征向量的元素、优序对比法确定权重值以及带权欧氏距离计算距离等策略,提出了一种基于带权欧氏距离的壳检测算法。该算法由确定阈值与壳检测两个阶段组成,这两个阶段执行前都要进行相应的准备工作,判断待测文件是否满足PE文件格式和计算待测文件的NCV向量值。确定阈值阶段主要的任务是确定阈值,同时将该值提供给壳检测阶段;壳检测阶段根据阈值判断待测文件是否加壳。实验结果表明,该算法的漏报率及误报率分别是PHAD的1/16与1/8,壳检测的准确率提高了近12%。最后,对壳的加载与执行过程进行了分析与研究,给出了一种能有效提取加壳程序隐藏信息的内存监测数据采集算法,算法可在加壳程序执行过程中跟踪存储器,在内存写操作发生时收集加壳程序需要写的数据。在数据采集算法基础上确定测试空间后,结合壳检测算法和手动脱壳技术中的ESP定律方法,设计了一个原程序入口点确定算法,可获得加壳程序的入口点,然后执行转存等操作完成脱壳。论文成果对PE文件脱壳的研究具有一定的理论参考价值和实际应用价值。

论文目录

  • 摘要
  • ABSTRACT
  • 第1章 绪论
  • 1.1 研究背景
  • 1.2 国内外查壳原理及相应工具
  • 1.2.1 基于特征串的壳检测技术
  • 1.2.2 基于熵的壳检测技术
  • 1.2.3 基于特征向量的壳检测技术
  • 1.2.4 其他查壳工具
  • 1.3 常见的脱壳技术
  • 1.3.1 工具脱壳
  • 1.3.2 静态、动态分析技术
  • 1.3.3 PolyUnpack
  • 1.4 本文的主要内容和结构组织
  • 第2章 PE 文件基本格式
  • 2.1 MS-DOS 部首
  • NTHEADERS 头部(PE 文件头)'>2.2 IMAGENTHEADERS 头部(PE 文件头)
  • 2.3 SECTION(区块)
  • 2.3.1 区块表
  • 2.3.2 各种区块的描述
  • 2.4 Import Table(输入表)
  • 2.5 Export Table(输出表)
  • 2.6 Resource(资源)
  • 2.7 PE 文件基本格式其他相关知识
  • 2.7.1 区块的对齐值
  • 2.7.2 几个比较重要的地址及转换
  • 2.7.3 基址重定位及基址重定位表
  • 2.8 PE 文件相关处理工具
  • 2.8.1 OllyDbg
  • 2.8.2 ImportREC
  • 第3章 基于带权欧拉距离PE 文件壳检测技术
  • 3.1 加壳文件
  • 3.1.1 壳的概念与种类
  • 3.1.2 原始文件与加壳文件
  • 3.2 查壳软件的设计思想及结构模块图
  • 3.3 PE 文件格式检测模块
  • 3.4 向量模块
  • 3.4.1 向量CV
  • 3.4.2 改进后的向量NCV
  • 3.5 欧氏距离与差错控制
  • 3.5.1 聚类分析与欧氏距离
  • 3.5.2 差错控制
  • 3.6 基于带权欧氏距离的壳检测技术(PDWED)
  • 3.6.1 PDWED 工作原理
  • 3.6.2 PDWED 软件
  • 第4章 PE 文件脱壳
  • 4.1 壳的加载过程
  • 4.2 内存监测数据采集算法
  • 4.3 脱壳
  • 4.3.2 基于内存监控的OEP 确定算法
  • 4.3.3 dump 模块
  • 4.3.4 重建输入表
  • 4.3.5 脱壳基本框架图
  • 第5章 实验及分析
  • 5.1 PDWED 实验
  • 5.1.1 确定阈值
  • 5.1.2 壳检测
  • 5.2 脱壳工具实验
  • 5.2.1 QEMU
  • 5.2.2 测试及结果分析
  • 第6章 总结与展望
  • 6.1 工作总结
  • 6.2 未来工作展望
  • 致谢
  • 参考文献
  • 附录
  • 详细摘要

    • 相关论文文献

    • [1].基于超欧氏距离近邻传播的软件缺陷预测方法[J]. 计算机应用研究 2017(05)
    • [2].修正的加权欧氏距离的实证分析[J]. 兰州文理学院学报(自然科学版) 2016(02)
    • [3].基于聚类分析与欧氏距离模型的碎纸片拼接复原[J]. 电子技术与软件工程 2020(18)
    • [4].利用加权欧氏距离评价科技期刊[J]. 农业图书情报学刊 2009(11)
    • [5].利用加权欧氏距离测评期刊的核心著者群[J]. 情报探索 2008(05)
    • [6].基于核的图像欧氏距离人脸识别[J]. 计算机工程与设计 2011(11)
    • [7].加权欧氏距离在水资源价值评价中的应用[J]. 安徽农业科学 2010(30)
    • [8].基于欧氏距离平方的机械振动故障识别研究[J]. 科技广场 2016(06)
    • [9].基于非欧氏距离的广义噪声聚类(英文)[J]. 北京交通大学学报 2008(06)
    • [10].随机平均欧氏距离的统计性质与分类阈值[J]. 天津科技大学学报 2008(04)
    • [11].相对欧氏距离坐标转换误差评价方法的无效性证明[J]. 机械设计与制造 2014(07)
    • [12].基于围线分层扫描的完全欧氏距离变换算法[J]. 中国图象图形学报 2011(01)
    • [13].基于加权欧氏距离度量的目标再识别算法[J]. 华南理工大学学报(自然科学版) 2015(09)
    • [14].基于同态加密算法的欧氏距离外包计算协议[J]. 计算机工程与应用 2019(15)
    • [15].随机欧氏距离的统计性质[J]. 天津科技大学学报 2010(05)
    • [16].基于改进欧氏距离的水轮发电机组振动故障诊断方法研究[J]. 吉林水利 2018(03)
    • [17].基于欧氏距离法的换流变压器短路电流和励磁涌流的辨识[J]. 电网技术 2015(09)
    • [18].基于欧氏距离理论的农业可持续发展评价方法与实证研究[J]. 中国农学通报 2018(12)
    • [19].基于欧氏距离法的农业可持续发展评价——以贵州省铜仁市为例[J]. 贵州大学学报(自然科学版) 2019(02)
    • [20].基于欧氏距离的基本信任函数确立方法[J]. 舰船科学技术 2012(08)
    • [21].运输车辆安全驾驶行为分析[J]. 现代商贸工业 2020(15)
    • [22].基于欧氏距离与多种搜索策略的人工蜂群算法[J]. 传感器与微系统 2018(09)
    • [23].基于欧氏距离的支持向量机拒识区域解决方案[J]. 计算机应用 2010(02)
    • [24].基于散布熵和余弦欧氏距离的滚动轴承性能退化评估方法[J]. 电子测量与仪器学报 2020(07)
    • [25].基于图像欧氏距离的二维局部多样性保持投影[J]. 自动化学报 2013(07)
    • [26].基于SIMCA-SVDD方法的分子光谱分析及其在食用油分类中的应用(英文)[J]. 光谱学与光谱分析 2020(08)
    • [27].基于优化VMD与欧氏距离的柴油机故障识别[J]. 振动.测试与诊断 2020(05)
    • [28].一种加权欧氏距离负载均衡云任务调度算法[J]. 河南科技大学学报(自然科学版) 2013(03)
    • [29].拓扑距离在CDMA网络PN规划中的应用[J]. 中国新通信 2018(13)
    • [30].一种加权欧氏距离聚类算法的改进[J]. 计算机与数字工程 2016(03)

    标签:;  ;  ;  ;  

    基于带权欧氏距离的壳检测与脱壳技术的研究
    下载Doc文档

    猜你喜欢

    © 2025 毕速过 版权所有 鄂ICP备12018319号-5