学位论文 > 优秀研究生学位论文题录展示

基于二进制多态变形的恶意代码反检测技术研究

作 者: 任云韬
导 师: 李毅超
学 校: 电子科技大学
专 业: 计算机应用技术
关键词: 间谍软件 恶意代码 多态变形 特征码 反检测
分类号: TN911.2
类 型: 硕士论文
年 份: 2007年
下 载: 362次
引 用: 5次
阅 读: 论文下载
 

内容摘要


网络信息时代,Internet已深入到人们工作、生活的方方面面,其安全问题引起了社会和学术界的广泛关注。近年来,“病毒”、“漏洞”、“蠕虫”、“木马”、“后门”、“间谍软件"、“恶意程序”等术语已广为人知,以病毒、蠕虫、木马、后门和Rootkit等为主要表现形式的恶意代码正成为网络安全领域研究的焦点。为保护系统和数据,如何尽可能地检测出具有入侵性的程序已成为当今信息安全领域一个活跃的研究分支。基于特征码的检测技术作为当前主要的恶意代码检测方式,广泛应用于各种传统的杀毒软件中。这种检测技术本质上是从恶意程序的机器代码中提取出一段特殊的字符串序列,以标识某种恶意代码,从而实现检测。然而在网络信息战中,尤其是网络入侵和渗透过程中,恶意代码却扮演着特殊的重要角色,成为进攻的武器。因此,研究如何使恶意代码能更好地避免诸多检测程序的检测,实现反检测,延长其生存周期,具有极其特殊的意义。本课题旨在通过分析当前恶意代码常用的反检测技术,提出一种新的反检测方法,并结合网络信息战实际情况研制一套恶意代码反检测的工具软件,从而实现对网络信息战中间谍软件(木马、后门、Rootkit)这种的特殊恶意代码的隐蔽和保护。恶意代码反检测与检测技术相互对抗。本文站在恶意代码反检测的角度,首先概括了当前恶意代码检测技术的研究现状,在分析比较了恶意代码的各种分析、检测方法和技术的基础上,重点分析了基于特征码检测这一主要的恶意代码检测技术。第二,在分析比较各种针对特征码检测的反检测措施的基础上,将传统多态变形技术原理引入恶意代码的反检测技术中,提出了一种新的基于二进制的多态变形技术方法。第三,在Windows平台下,研制出了一套基于二进制多态变形技术的工具套件。该套件通过变形目标间谍软件,改变其特征码,从而实现间谍软件的反检测,延长其生存周期。最后,通过实验证明了该技术及其工具套件在给定条件下,能够对间谍软件进行有效变形,使其具有良好的反检测能力。“基于二进制多态变形的恶意代码反检测技术”及其工具套件在网络信息战实战应用中得到了使用部门的充分肯定。检索查新表明,论文中提出的技术方法在国内外网络安全领域的学术文献和技术报告中未见相同或相似的观点。

全文目录


摘要  4-5
ABSTRACT  5-10
第一章 绪论  10-13
  1.1 恶意代码反检测技术的现状  10-11
  1.2 课题的研究意义和目的  11-12
  1.3 课题主要内容及组织结构  12-13
第二章 恶意代码检测技术的研究  13-28
  2.1 恶意代码的现状和发展趋势  13-16
  2.2 恶意代码检测的研究现状  16
  2.3 恶意代码的分析方法  16-20
    2.3.1 静态分析  17-19
      2.3.1.1 串分析  17-18
      2.3.1.2 用反汇编工具进行二进制分析  18
      2.3.1.3 反编译  18-19
    2.3.2 动态分析  19
    2.3.3 其他方法  19-20
  2.4 恶意代码的检测技术  20-24
    2.4.1 特征代码检测法  20-22
      2.4.1.1 组成  20-22
      2.4.1.2 关键点  22
      2.4.1.3 优点  22
      2.4.1.4 缺点  22
    2.4.2 校验和法  22-23
      2.4.2.1 原理  22-23
      2.4.2.2 优点  23
      2.4.2.3 缺点  23
    2.4.3 其他方法  23
    2.4.4 小结  23-24
  2.5 基于特征码的恶意代码检测技术  24-28
    2.5.1 特征码提取  24-26
      2.5.1.1 特征码提取原则  24-25
      2.5.1.2 特征码提取方法  25-26
    2.5.2 特征码定位方法  26-28
      2.5.2.1 单特征码定位  27
      2.5.2.2 复合特征码定位  27
      2.5.2.3 小结  27-28
第三章 基于二进制多态变形的恶意代码反检测  28-56
  3.1 反检测的定义  28-29
  3.2 常用的恶意代码的反检测方法  29-33
    3.2.1 基于源代码的反检测  29-30
    3.2.2 基于二进制代码的反检测  30-33
  3.3 软件壳与变形  33-36
  3.4 多态变形技术  36-45
    3.4.1 多态变形的定义  36-38
    3.4.2 传统多态变形技术的分析  38-40
    3.4.3 常见的指令变换方法  40-45
  3.5 传统多态变形技术的缺陷  45-46
  3.6 基于二进制的多态变形  46-55
    3.6.1 基于二进制的多态变形方法  46-47
    3.6.2 关键点  47-55
      3.6.2.1 二进制代码的范畴  47-48
      3.6.2.2 二进制代码的定位  48-52
      3.6.2.3 PE文件反汇编/汇编  52-53
      3.6.2.4 代码指令修正  53-54
      3.6.2.5 OPCODE库  54-55
  3.7 利用多态变形技术实现恶意代码的反检测  55-56
第四章 基于二进制多态变形技术的工具套件设计实现  56-77
  4.1 总体设计  56-57
    4.1.1 功能目标  56
    4.1.2 总体结构  56-57
  4.2 特征码分析工具集的设计实现  57-60
    4.2.1 单一特征码分析工具的实现  57-59
    4.2.2 复合特征码分析工具的实现  59-60
  4.3 多态变形工具的设计实现  60-76
    4.3.1 多态变形工具的总体设计  60-61
    4.3.2 PE文件处理模块的实现  61-65
      4.3.2.1 设计流程  61-62
      4.3.2.2 数据结构  62-63
      4.3.2.3 函数原形  63
      4.3.2.4 实现  63-65
    4.3.3 反汇编/汇编引擎的设计和实现  65-68
      4.3.3.1 中间语言  65-66
      4.3.3.2 反汇编/汇编引擎实现  66-68
    4.3.4 OPCODE库的设计、实现和使用  68-70
      4.3.4.1 OPCODE库的设计  68-69
      4.3.4.2 OPCODE库的实现和使用  69-70
    4.3.5 多态变形模块的设计实现  70-73
    4.3.6 指令修正模块的设计实现  73-76
      4.3.6.1 修正的方法  73-75
      4.3.6.2 数据结构  75
      4.3.6.3 二次修正  75-76
    4.3.7 使用方法  76
  4.4 使用策略  76-77
第五章 实验验证和后续展望  77-80
  5.1 实验验证  77-80
致谢  80-81
参考文献  81-83
攻硕期间取得的研究成果  83

相似论文

  1. 基于主动方式的恶意代码检测技术研究,TP393.08
  2. 基于压缩加密及多态变形的代码迷惑方法研究,TP393.08
  3. 基于内容的网页恶意代码检测的研究与实现,TP393.092
  4. 间谍软件的检测与清除,TP393.08
  5. 基于二进制代码等价变换的代码伪装技术研究,TP393.08
  6. 手机病毒分析及杀毒软件设计,TP311.56
  7. 互联网上常见隐写软件的分析与攻击,TP393.08
  8. 计算机网络P2P流量的检测识别研究,TP393.06
  9. 基于空间特征码的矢量要素变化检测研究,P208
  10. 基于网页后门木马监测系统的研究和设计,TP393.092
  11. 基于特征码的大规模中文网页并行去重方法,TP393.092
  12. 基于异常用户行为的蠕虫检测与特征码自动提取技术研究,TP393.08
  13. 网络流量识别特征码自动提取系统的研究与实现,TN915.06
  14. 基于主动防御模式下病毒特征码的研究,TP393.08
  15. P2P应用对网络的影响和识别方法研究,TP393.02
  16. 基于内容的搜索引擎网页去重研究,TP393.092
  17. 面向开源程序的特征码免杀与主动防御突破研究,TP393.08
  18. 天清汉马USG上网行为管理子系统中协议识别技术的研究和应用,TP315
  19. 基于病毒行为分析的特征码的提取与检测,TP309.5
  20. 基于病毒检测的虚拟机的设计与实现,TP309.5
  21. 基于IAT加密的加壳程序研究,TP311.52

中图分类: > 工业技术 > 无线电电子学、电信技术 > 通信 > 通信理论 > 信息论
© 2012 www.xueweilunwen.com