学位论文 > 优秀研究生学位论文题录展示

针对性能比较的反虚拟环境检测方法与实现

作 者: 魏龙
导 师: 江荣安
学 校: 大连理工大学
专 业: 计算机应用技术
关键词: 恶意软件分析 反虚拟环境检测 性能比较 IDA插件 反汇编
分类号: TP274
类 型: 硕士论文
年 份: 2011年
下 载: 19次
引 用: 0次
阅 读: 论文下载
 

内容摘要


当前计算机产业得到了空前的发展,互联网已经不仅仅局限于为人们提供网络服务,而是已经深入到生活、学习和工作的每一处。但是科技发展给我们带来的永远不会只有好处。目前在互联网上泛滥的各种病毒,木马,蠕虫,广告软件等等都是恶意软件,而现如今的恶意软件可能会兼具多种类别特征,令安全软件难以检测,造成更大的危害。因此,对于新出现的恶意软件,我们必须能够在最快的时间内了解它的运行机理,才能及早的做出预防措施。计算机安全人员需要对获取的恶意软件样本进行分析,得到它们的执行路径,确定它们的意图,从而制定相应的防护措施。由于无法预知新型恶意软件的行为,所以安全人员在进行恶意软件分析时,主要采用在虚拟环境中运行样本的方法,以免对真实的主机造成破坏。但是越来越多的恶意软件已经能够判断它所在的环境是否为虚拟环境,以此来防止自己被分析。针对VMware的虚拟环境检测手段已经有非常多,当前安全人员已经能够拦截这些虚拟环境检测。经过安全人员的努力,现在主流的虚拟环境检测方法已经无法检测到最新版本的VMware虚拟机。但是对于新提出的基于性能比较的虚拟环境检测方法,还没有一个有效的拦截手段,这种方法通过数据统计的方式,得到真实主机和虚拟环境中执行特权指令的性能差异,确定两者之间的界限,从而检测虚拟环境;目前对它进行拦截的反虚拟环境检测方法还没有出现。本文针对基于性能比较的虚拟环境检测方法提出了一种有效的对抗方法,采用了IDA(Interactive Disassembler Professional)插件技术,该插件在VMware虚拟环境中可以实现对该检测方法的拦截。论文实现拦截过程时使用IDA的递归下降扫描算法,通过设置并扫描查找恶意软件样本中的目标指令来确认样本类型。该算法具有区分代码与数据的强大能力,作为一种基于控制流的算法,它很少会在反汇编过程中错误地将数据值作为代码处理。这为扫描目标指令提供了正确率的保证。其后在动态运行过程中修改恶意软件获取的指令执行性能,同时也能够使得恶意软件能够正常运行,能够顺利的在IDA环境中对具有虚拟环境检测功能的恶意软件进行分析。为了证明改进本文方法的有效性,我们使用两个实际的恶意软件样本对其进行验证,结果证明本文的方法是高效可行的。

全文目录


相似论文

  1. 基于IDA的代码解析与中间语言翻译,TP391.2
  2. 梁式转换层和桁架转换层结构设计方案对比分析,TU323.4
  3. 分布式实时系统调度分析工具的改进研究,TP311.52
  4. 嵌入式界面设计的研究与应用,TP368.1
  5. 超空泡鱼雷发动机热力计算和性能比较,TJ630.32
  6. 一种数据库漏洞挖掘方法研究,TP311.13
  7. 基于分类的未知PE病毒检测技术的研究,TP393.08
  8. 不同添加剂温拌沥青混合料使用性能比较,U414
  9. Windows平台下软件安全漏洞研究,TP309
  10. 抑制经验模态分解端点效应的常用方法性能比较研究,TN911.7
  11. 基于GT-power软件的柴油机生物燃料性能比较研究,TK428.9
  12. 新型磁障调制式双馈无刷电机转子优化设计的研究,TM303.3
  13. 软件保护与分析技术的研究与实现,TP311.52
  14. 拜占庭攻击的Ad hoc网络路由协议性能分析研究,TN929.5
  15. 加密网络程序的逆向分析技术研究,TN915.08
  16. FreeGate软件的逆向分析技术研究,TP393.09
  17. 目标代码混淆加壳关键技术的设计与分析,TP311.52
  18. 基于DSP的嵌入式运动控制器研究,TP368.11
  19. 波形钢腹板PC箱梁桥剪力连接件研究,U441
  20. 二进制环境下的缓冲区溢出漏洞动态检测,TP309

中图分类: > 工业技术 > 自动化技术、计算机技术 > 自动化技术及设备 > 自动化系统 > 数据处理、数据处理系统
© 2012 www.xueweilunwen.com