学位论文 > 优秀研究生学位论文题录展示

恶意代码检测及其行为分析

作　者: 李阳
导　师: 胡建伟；薛红兵
学　校: 西安电子科技大学
专　业: 软件工程
关键词: 恶意代码静态分析动态分析隐藏代码检测 API截获
分类号: TP393.08
类　型: 硕士论文
年　份: 2010年
下　载: 112次
引　用: 1次
阅　读: 论文下载

内容摘要

互联网络的快速发展,在给人们带来方便的同时,也带来了木马病毒等恶意程序。随着各种杀毒软件的出现,恶意程序也不断进化着。单纯采用传统的网络安全技术或传统反病毒技术已经无法适应采用变异和Rootkits技术的恶意代码。恶意程序的无进程和Rootkits结合的发展趋势,使得病毒和木马的防范越来越有挑战性。本文在研究恶意代码和网络主动防御技术的基础上,对恶意代码的静态和动态分析技术进行了详细分析,并以实际恶意程序为例,对恶意代码的文件属性、编程语言、字符串特征、输入函数、系统和网络的行为特征进行了详细的分析,并重点对恶意代码的隐藏技术进行了初步分析。然后,通过挖掘Windows系统各种与进程相关的数据结构提出了多种检测技术,利用Windows系统所提供的Detours开发库实现API函数的有效截获,实现调用序列和调用参数的信息获取,为后续恶意进程的行为分析提供基础。实际的仿真结果也说明上述恶意代码检测方法和API提取技术是有效的。

全文目录

摘要  3-4
Abstract  4-7
第一章绪论  7-17
  1.1 研究背景  7-8
  1.2 国内外发展现状  8-14
    1.2.1 研究现状  8-13
    1.2.2 市场现状  13-14
  1.3 研究目的与内容  14-15
    1.3.1 研究目的  14
    1.3.2 研究内容  14-15
  1.4 论文组织  15-17
第二章恶意代码分析和隐藏技术  17-33
  2.1 静态分析技术  17-23
    2.1.1 文件类型分析  17-21
    2.1.2 字符串提取分析  21-23
  2.2 动态分析技术  23-29
    2.2.1 注册表监视  24-25
    2.2.2 监控文件变动  25-27
    2.2.3 网络行为分析  27-29
  2.3 进程隐藏技术  29-33
    2.3.1 代码注入技术  29-30
    2.3.2 利用API拦截进行进程隐藏  30-32
    2.3.3 修改系统活动进程列表  32-33
第三章隐藏进程检测方法和API截获策略  33-51
  3.1 隐藏进程检测方法  33-44
    3.1.1 API方法  33-35
    3.1.2 内存管理成员信息方法  35-39
    3.1.3 内存暴力搜索方法  39-44
  3.2 API截获策略  44-49
    3.2.1 简介  44-45
    3.2.2 实现  45-48
    3.2.3 Detours提供的截获API的相关接口  48-49
  3.3 小结  49-51
第四章测试及分析  51-61
  4.1 进程隐藏测试  51-54
  4.2 DLL注入测试  54-57
  4.3 使用Detours实现对API的截获  57-60
    4.3.1 截获DLL中的函数  57-59
    4.3.2 截获结果  59-60
  4.4 小结  60-61
第五章总结与展望  61-63
  5.1 总结  61
  5.2 后续工作  61-63
致谢  63-65
参考文献  65-69
研究成果  69

恶意代码检测及其行为分析

内容摘要

全文目录

相似论文