论文部分内容阅读
在当今开放式的信息环境中,随着Internet的日益普及,计算机及其网络技术在为人们生活、工作、学习提供极大便利的同时,也带来了各种安全隐患和威胁。其中危害最大、影响最深的是日益泛滥的计算机病毒。Windows操作系统是目前最广泛使用的PC操作系统,而PE文件是该平台上最广泛使用的一种文件格式,感染PE文件的病毒是该平台上影响最广和数量最多的一类文件型病毒。为了对付PE文件病毒,人们开发出了许多反病毒技术,主要有特征码扫描技术、启发式扫描技术、虚拟机技术以及主动防御技术等。病毒特征码扫描技术是目前反病毒软件最广泛使用的PE文件病毒检测技术,同时也是目前检测该病毒最简单和最为有效的方法。但特征码扫描技术不能有效检测未知PE文件病毒,病毒库也需要不断的升级更新,病毒特征码的提取主要通过人工提取,病毒特征的提取速度和病毒库的升级速度远远落后于PE文件病毒的发展。本文在上述背景下对Windows平台下具有感染性的PE文件病毒展开深入的研究。首先介绍了计算机病毒的相关知识,分别论述了病毒的定义、工作原理、病毒的传播机制、触发机制以及破坏机制。并以此作为切入点分析了PE文件格式和PE文件病毒的原理、感染过程以及一些常用的技术。然后介绍了当前检测PE文件病毒的主流技术如:特征码检测技术、虚拟机检测技术等。针对当前主流的特征码检测技术不能检测未知PE文件病毒的不足,本文提出了进程行为分析和文件特征分析相结合的方法来检测PE文件病毒。通过对PE文件病毒在感染过程中的动态行为的分析,得出了PE文件病毒在感染过程中的自我复制行为是病毒最根本的动态特征,以此为基础设计和实现了检测PE文件病毒的进程行为分析子系统。通过对PE文件病毒如何非法获取宿主文件控制权方法的研究,设计和实现了检测PE文件病毒的文件特征分析子系统。最后将进程行为分析与文件特征分析相结合提出了检测PE文件病毒的完整解决方案,根据该方案构建了原型系统并进行了测试,测试结果表明该检测系统能有效的检测已知和未知的PE文件病毒。