文档介绍：论!B畚拇鸨缛掌凇!——⒅俺啤⒀弧⒌ノ幻萍暗刂申请专业学位级别论文提交日期学位授予单位和日期答辩委员会主席评阅人注鹤⒚鳌豆适掷喾║》的类号。饷透碧饷髡咝彰专业名称崔’,。
一●●￥,簦、·、...
签名:导师签名:倒签名:雯鱼删『篔緁『篒篺Ⅲ独创性声明论文使用授权日期:扣阺月本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。据我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均己在论文中作了明确的说明并表示谢意。日期:沙户年多月多,日本学位论文作者完全了解电子科技大学有关保留、使用学位论文的规定,有权保留并向国家有关部门或机构送交论文的复印件和磁盘,允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。C艿难宦畚脑诮饷芎笥ψ袷卮斯娑
一瘢甁,●
摘要恶意代码威胁着计算机系统的安全,已经成为日益重要的问题。所谓恶意代码,即病毒、木马、蠕虫、间谍或任何形式有恶意行为的程序。由于恶意代码对计算机的严重破坏性,检测和打击恶意代码已经成为计算机安全领域的重要目标。恶意代码分析是一项极具挑战性的工作,不但要提供恶意代码功能信息,而且还要知晓恶意代码的内部结构,这样才能促进反恶意代码的发展。但不幸的是,如病毒扫描器、间谍软件扫描器等传统通过模式匹配的恶意代码分析方法,已经很容易地被代码转换技术所逃避。为了能够成功检测和分析恶意代码,恶意代码分析必须动态分析其二进制。恶意代码出于自我保护的考虑,有着很强的反分析技术。再加上软件保护技术快速发展,也给动态二进制分析带来了严峻的考验。本文首先对恶意代码常用技术进行了深入调查,然后深入研究了目前恶意代码检测和分析的常用手段。发现现阶段分析方法仅仅对己知恶意代码有些效果,但在未知或是变种病毒分析上却差强人意,尤其是一些恶意代码本身具有反分析能力和很强的生存能力,能够躲避调试工具和检测软件的追踪分析。本文的研究目标是:实现一个分析过程隐蔽、分析过程自动化、分析结果准确、分析报告全面的系统。本文提出的恶意代码动态二进制分析平台在监控技术上采用基于页面异常机制的新型方法,在分析技术上采用系统调用行为和参数分析的程序行为分析方法。监控技术利用了操作系统提供的页面异常机制来获得目标进程的控制权。与传统监控技术相比,该技术在隐蔽性等方面更胜一筹。分析模块提取恶意行为特征,构建恶意行为规则库,并模拟安全专家人工识别恶意程序的方法,自动化分析样本行为,判定行为恶意性。该方法分析过程自动化,分析结果准确,能成为安全人员分析时重要的利器。最后测试实验证明,本文提出的恶意代码分析平台效果明显,分析平台给出的报告可以作为安全分析人员判断的重要依据。关键词:动态二进制分析,隐蔽监视点,恶意行为
猢瑆““锄锄甅,瑆,鷖,鷄鷈锄,,,锄.,皁印鷇毋朗篴,.,.,.仃.!痚,甴瑃:,’
豨锣唧詄:鷌印魋籱匆蟙锄,、,丘,,琒。!.珺一
目录第一章绪论⋯⋯⋯⋯。:⋯....⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯课题研究背景⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯..国内外研究现状⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯.课题研究意义与目的⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯..课题研究内容以及组织结构⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯.第二章恶意代码及相关技术⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯.恶意代码概述⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯..恶意代码的发展史⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯.恶意代码分类⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯。恶意代码分析方法⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯.静态分析⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯动态分析⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯静态分析与动态分析对比⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯恶意代码反分析技术⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯.隐藏技术⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯多态技术⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯花指令⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯际酢检验和⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯