学位论文 > 优秀研究生学位论文题录展示

Windows环境恶意代码检测技术研究

作 者: 刘颖
导 师: 李毅超
学 校: 电子科技大学
专 业: 计算机应用技术
关键词: 恶意代码检测 隐藏 Rootkit 后门程序
分类号: TP309.5
类 型: 硕士论文
年 份: 2007年
下 载: 552次
引 用: 5次
阅 读: 论文下载
 

内容摘要


随着信息技术,特别是互联网的高速发展,网络安全问题正受到人们越来越多关注。对网络安全的诸多威胁中,恶意代码无疑是危害最大的,这也成为网络安全领域研究的焦点。本文关注于Windows平台的恶意代码检测技术。现有的商业恶意代码检测系统使用的检测技术主要是特征码扫描、完整性检测和虚拟机检测。本文分析了上述三种检测技术的原理以及各自的优缺点:特征码扫描检测速度快、误报率低,但需要和庞大的特征库配合,无法检测变形的恶意代码;完整性检测能有效检测到恶意代码对文件的修改,但完整性检测假设刚装入系统中的文件是没有感染恶意代码的,因此完整性检测无法发现装入系统前已感染到文件上的恶意代码;虚拟机检测可以有效对付加密变形的恶意代码,但恶意代码仍然有多种方法可以有效绕过其检测,如使用特殊指令,使用结构化异常处理等。随着新的Rootkit技术在恶意代码中的广泛应用,现有的恶意代码检测技术遇到了前所未有的挑战。Rootkit技术隐藏现有的恶意代码检测系统的检测目标,包括进程、文件、TCP端口、注册表等。试验表明,现有的商业恶意代码检测系统无法有效检测采用Rootkit技术隐藏了的恶意代码。本文分析了Rootkit技术的实现原理,包括对进程、TCP端口、注册表和文件的隐藏技术。通过对恶意代码隐藏技术的分析,本文提出了对隐藏恶意代码的检测技术,基于差异分析的隐藏行为检测技术,该技术将可信任的系统信息与不可信任的系统信息进行比较,从而获得被隐藏的信息。针对具体的进程、TCP端口、注册表和文件信息,本文提出了获得其可信任信息和不可信任信息的方法。通过对大量后门程序的逆向工程分析,本文总结了后门程序的原理,指出了后门区别于正常程序的特征,并通过这一特征提出了针对后门程序的基于管道扫描的检测技术。根据本文提出的隐藏行为检测技术和后门程序检测技术实现了恶意代码检测系统MalFinder,通过对该系统的测试发现该系统在对隐藏的恶意代码检测和后门程序检测上明显优于现有的商业恶意代码检测系统。

全文目录


摘要  4-5
ABSTRACT  5-10
第一章 引言  10-13
  1.1 研究背景  10-11
    1.1.1 恶意代码的危害  10-11
    1.1.2 恶意代码分类  11
  1.2 主要研究工作  11-12
  1.3 论文组织结构  12-13
第二章 恶意代码检测技术与反检测技术现状  13-20
  2.1 现有检测技术  13-14
    2.1.1 特征码扫描  13
    2.1.2 完整性检测  13-14
    2.1.3 虚拟机检测  14
  2.2 传统的反检测技术  14-19
    2.2.1 变形技术  15-17
    2.2.2 反虚拟机技术  17-19
  2.3 传统反检测技术的潜在问题  19
  2.4 本章小结  19-20
第三章 Rootkit技术——恶意代码的隐藏  20-28
  3.1 隐藏目的  20
  3.2 进程隐藏  20-23
  3.3 TCP端口隐藏  23-25
  3.4 注册表隐藏  25-26
  3.5 文件隐藏  26-27
  3.6 本章小结  27-28
第四章 基于差异分析的隐藏行为检测技术  28-39
  4.1 检测原理  28-29
  4.2 获取不可信任系统信息  29
  4.3 获取可信任系统信息  29-38
    4.3.1 获取可信进程信息  30-33
    4.3.2 获取可信的TCP端口信息  33-34
    4.3.3 获取可信的注册表信息  34-36
    4.3.4 获取可信的文件信息  36-38
  4.4 本章小结  38-39
第五章 基于管道扫描的后门检测技术  39-48
  5.1 后门的原理  39-42
  5.2 基于管道扫描的后门检测技术  42-47
    5.2.1 获取系统中所有的管道  42-46
    5.2.2 判断管道访问管道的进程是否是cmd  46-47
  5.3 本章小结  47-48
第六章 MalFinder检测系统的实现  48-81
  6.1 设计目标  48
  6.2 总体设计  48
  6.3 详细设计  48-62
    6.3.1 隐藏检测  48-60
    6.3.2 后门检测  60-62
  6.4 关键技术介绍  62-78
    6.4.1 Windows内核相关技术  62-67
    6.4.2 内存管理机制  67-70
    6.4.3 设备驱动程序开发技术  70-78
  6.5 测试结果  78-79
    6.5.1 检测隐藏的恶意代码  78-79
    6.5.2 检测后门程序  79
  6.6 本章小结  79-81
第七章 结论  81-82
  7.1 论文的成果  81
  7.2 下一步的工作  81-82
致谢  82-83
参考文献  83-85
攻硕期间取得的研究成果  85

相似论文

  1. 矢量CAD电子图纸保护系统研究,TP391.72
  2. 关于合同双方当事人意思表示的分析,D923.6
  3. 图像信息隐藏技术的应用研究,TP309.7
  4. 面向无线视频传输的H.264错误隐藏技术研究,TN919.81
  5. 基于图像的信息隐藏技术研究,TP309.7
  6. 基于离散小波变换的图像水印算法研究,TP309.7
  7. 驱动级木马传输和加密算法设计与实现,TP393.08
  8. 基于主板固件的程序隐藏技术研究,TP309
  9. 基于视窗操作系统的程序隐藏技术术究,TP393.08
  10. 基于虚拟机的安全监测研究,TP274
  11. 终端特定信息检测系统的研究与实现,TP309
  12. 基于即时语音通信的信息隐藏技术研究,TP309
  13. 网络隐蔽信道检测技术的研究,TP393.08
  14. 基于LSM的改进型Linux入侵检测系统,TP393.08
  15. 混沌保密光通信系统调制方式和光纤信道性能的研究,TN918.8
  16. 基于可靠性穿透的ZFS数据隐藏技术,TP309
  17. 基于维诺图的图像信息隐藏法研究,TP309
  18. 基于多媒体数据网络通信的隐蔽通信系统的研究与实现,TP393.08
  19. 基于H.264编码标准的可逆视频信息隐藏技术的研究,TN919.81
  20. 适合于WMSNs的视频压缩及可靠传输编码技术研究,TN919.81
  21. 中国作为抗俗在线,H109.4

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 一般性问题 > 安全保密 > 计算机病毒与防治
© 2012 www.xueweilunwen.com