Win32 PE文件病毒的检测方法研究

被引量 : 11次 | 上传用户:fby_1859
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
在当今开放式的信息环境中,随着Internet的日益普及,计算机及其网络技术在为人们生活、工作、学习提供极大便利的同时,也带来了各种安全隐患和威胁。其中危害最大、影响最深的是日益泛滥的计算机病毒。Windows操作系统是目前最广泛使用的PC操作系统,而PE文件是该平台上最广泛使用的一种文件格式,感染PE文件的病毒是该平台上影响最广和数量最多的一类文件型病毒。为了对付PE文件病毒,人们开发出了许多反病毒技术,主要有特征码扫描技术、启发式扫描技术、虚拟机技术以及主动防御技术等。病毒特征码扫描技术是目前反病毒软件最广泛使用的PE文件病毒检测技术,同时也是目前检测该病毒最简单和最为有效的方法。但特征码扫描技术不能有效检测未知PE文件病毒,病毒库也需要不断的升级更新,病毒特征码的提取主要通过人工提取,病毒特征的提取速度和病毒库的升级速度远远落后于PE文件病毒的发展。本文在上述背景下对Windows平台下具有感染性的PE文件病毒展开深入的研究。首先介绍了计算机病毒的相关知识,分别论述了病毒的定义、工作原理、病毒的传播机制、触发机制以及破坏机制。并以此作为切入点分析了PE文件格式和PE文件病毒的原理、感染过程以及一些常用的技术。然后介绍了当前检测PE文件病毒的主流技术如:特征码检测技术、虚拟机检测技术等。针对当前主流的特征码检测技术不能检测未知PE文件病毒的不足,本文提出了进程行为分析和文件特征分析相结合的方法来检测PE文件病毒。通过对PE文件病毒在感染过程中的动态行为的分析,得出了PE文件病毒在感染过程中的自我复制行为是病毒最根本的动态特征,以此为基础设计和实现了检测PE文件病毒的进程行为分析子系统。通过对PE文件病毒如何非法获取宿主文件控制权方法的研究,设计和实现了检测PE文件病毒的文件特征分析子系统。最后将进程行为分析与文件特征分析相结合提出了检测PE文件病毒的完整解决方案,根据该方案构建了原型系统并进行了测试,测试结果表明该检测系统能有效的检测已知和未知的PE文件病毒。
其他文献
从基坑支护方案,主要工序施工注意点、基坑监测、支护安全和应急措施等方面介绍了吴江市南玻特种玻璃生产线新建工程大面积软土深基坑的支护技术。
管理层的薪酬激励向来被认为是解决代理问题的一种重要的公司治理机制,人们也越来越关注企业报酬契约中的公平性问题。本文尝试就我国上市公司高管薪酬的公平性问题展开研究,主
目的(1)研究青少年社会经济地位对吸烟饮酒行为的影响。(2)探索生活事件在青少年社会经济地位(SES)和吸烟饮酒行为关系中的中介作用。方法(1)按照多阶段随机整群取样方法,从
工作目的:探讨柴胡疏肝散对抑郁模型大鼠行为学及海马、杏仁核、额叶皮质BDNF及其受体TrkB表达的影响。研究方法:60只成年SD大鼠随机分为正常对照组、模型对照组、柴胡疏肝散组
程式交易(Program Trading)自1975年诞生于美国以来,已经历了30多年的发展,其出现是证券市场交易方式的重大创新,对国内外证券市场的发展意义重大。在国外,理论界和产业界对
社会的发展历程中,我们可以发现,普适性价值观往往显著的倡导和支持了有自制和节制的行为方式,因此,从某种角度看,自我调控能力是个体适应社会并与他人建立良好人际关系的关
随着网格技术的发展和应用,研究重点已经从实现网格系统各核心组件及其基本功能逐渐转向如何保障网格提供非平凡的服务质量(QoS)。可靠性就是非常重要的QoS指标之一。随着网
复合土钉墙支护技术是一种安全经济的建筑基坑支护方法,结合工程实例的地质及周边复杂的施工条件,对该建筑基坑工程结构支护方案设计与施工技术要点进行详细分析阐述,并对施
为了防止恶意程序通过消息钩子的方式将恶意代码插入到其它进程中去,分析了Windows操作系统中系统服务的调用机制以及消息钩子机制,提出了一种在操作系统内核模式下拦截消息
目的本研究旨在通过检测免疫性复发性自然流产(recurrent spontaneous abortion,RSA)患者孕激素诱导阻滞因子(progesterone-induced blocking factor, PIBF)、干扰素γ(IFN-