学位论文 > 优秀研究生学位论文题录展示
恶意PDF文档的分析
作 者: 武雪峰
导 师: 王美琴
学 校: 山东大学
专 业: 信息安全
关键词: PDF文档 恶意代码 静态分析 动态行为分析
分类号: TP309
类 型: 硕士论文
年 份: 2012年
下 载: 95次
引 用: 0次
阅 读: 论文下载
内容摘要
随着互联网的高速发展和办公自动化的日益普及,PDF(portable document format)文件已经成为全球电子文档分发的开放式标准,是继PostScript文件格式之后的一种新的输出文件格式。PDF凭借着它的种种优势,克服了电子文件共享过程中经常遇到的识别问题,使用户可以在网上自由地浏览文件和方便地交换文件,它成为进行现代电子文档分发的理想格式。但是PDF文档给人们的工作和生活带来许多便利的同时,也带来了许多问题。其中,尤其以含有恶意代码的PDF文档所造成的危害最大最广,给企业和用户造成了巨大的不可挽回的损失,给互联网应用带来了严峻的威胁和挑战。由于PDF文档的高实用性和普遍适应性,因而更加加速了恶意代码的快速传播,使其成为恶意代码常用有效载体。由于恶意代码对计算机的严重破坏性,检测和防止含有恶意代码的PDF文档已日益成为计算机安全领域的重要目标。在本文中,首先详细介绍了PDF文档的物理结构和逻辑结构,在此基础上构建了PDF文档结构的自动解析系统,此系统可以快速准确的查看和提取PDF文档结构中各部分的二进制数据,尤其是对各类压缩流对象可以快速准确解压和提取,这为进一步的检测和分析提供数据支持。其次,对不同恶意PDF文档原理进行了深入的研究和分析,研究了各类主流恶意PDF文档中代码的传播方式和传播模型,接着对现有恶意PDF文档的攻击于段,反查杀方式进行分析和总结,以此为基础研究恶意PDF文档检测的方法和可行性。并且,构建了Javascript(?)弋码的解码引擎,实现了对PDF文档中提取的Javascript代码和压缩混淆的Javascript代码的解码分析。第三,本文通过动态分析和静态分析相结合的方式实现了对PDF文档中恶意代码的分析和恶意行为特征的提取,在YARA恶意特征规则库的基础上构建了新的恶意特征规则识别库,并建立了一套快速增加恶意特征识别库中特征码的方法,从而有效的提高了对PDF文档中包含的恶意代码的识别率。第四,构建了Libeum仿真环境。首先,通过Distorm3对恶意PDF文档中提取的shellcode二进制代码进行反汇编。其次,使用Libeum对反汇编代码进行X86指令解析、注册表仿真和基本的FPU仿真。同时,实现对shellcode的检测,包括使用GetPC启发式检测、静态分析、二进制方式的动态分析、Win32API HOOK等。通过仿真模拟方式进行行为自动化分析,判定该shellcode代码行为的恶意性。第五,通过对多个恶意PDF文档样本测试实验证明,本文提出的恶意PDF文档分析检测系统效果明显,尤其是对包含压缩混淆型Javascript(?)弋码的恶意PDF文档能够快速检测。同时,该分析系统能够为恶意PDF文档处置提供快速、准确的直接分析资料,可以成为系统安全员检测恶意PDF文档的重要的工具。
|
全文目录
摘要 8-10 ABSTRACT 10-12 第一章 绪论 12-16 1.1 选题背景 12-13 1.2 国内外研究现状 13-14 1.3 课题的研究内容 14-15 1.4 论文的组织结构 15-16 第二章 PDF文档格式详解及解析 16-27 2.1 PDF文档简介 16-17 2.2 PDF文档的物理结构 17-20 2.3 PDF文档的逻辑结构 20-23 2.3.1 Catalog根节点 20-21 2.3.2 Pages页而树 21-22 2.3.3 Page页对象 22 2.3.4 Outlines书签树 22-23 2.4 PDF文档结构解析系统构建 23-26 2.5 本章小结 26-27 第三章 恶意PDF文档的静态分析 27-37 3.1 PDF文档中Javascript代码的分析 27-28 3.2 恶意PDF文档自动静态分析平台构架 28-36 3.2.1 特征识别库的建立 28 3.2.2 特征识别码的构建法则 28-29 3.2.3 javascript解码引擎 29 3.2.4 静态分析流程 29-36 3.3 本章小结 36-37 第四章 恶意PDF文档的动态分析系统 37-46 4.1 静态分析和动态分析优劣势比较 37 4.2 动态分析方法介绍 37-39 4.3 总体设计目标 39 4.4 仿真模拟型动态行为分析系统的构建 39-43 4.4.1 shellcode代码反编译 39-41 4.4.2 汇编代码模拟执行 41-43 4.5 形成完整的检测报告 43-45 4.6 本章小结 45-46 第五章 系统测试和结果分析 46-48 5.1 样本测试环境 46 5.2 系统性能测试结果 46-48 第六章 总结与展望 48-50 6.1 工作总结 48-49 6.2 下一步工作展望 49-50 附录A 50-51 参考文献 51-54 致谢 54-55 学位论文评阅及答辩情况表 55
|
相似论文
- 基于主动方式的恶意代码检测技术研究,TP393.08
- 日本小学音乐科教材分析研究,G623.71
- 基于扩展下推自动机的Java程序安全相关行为模型自动生成,TP311.52
- Web挂马检测系统的设计与实现,TP393.08
- 转向架中心销有限元分析及拓扑优化,U270.33
- μC/OS-Ⅱ实时内核最坏情况执行时间的研究,TP316.84
- 基于启发式算法的恶意代码检测系统研究与实现,TP393.08
- 博弈论在信息安全投资中的应用,F49;F224.32
- 基于多移动Agent的大规模网络恶意代码防御机制的研究,TP393.08
- 基于内容的网页恶意代码检测的研究与实现,TP393.092
- 基于多粒度依赖关系图的变更影响分析方法研究,TP311.53
- 永磁接触器设计及静动态特性分析,TM572.1
- 基于多样化对象所有权的软件可信性质研究,TP311.52
- 基于统一可扩展固件接口的恶意代码防范系统研究,TP393.08
- 基于学习的恶意网页智能检测系统,TP393.08
- 方滑枕变形处理及补偿的研究,TG548
- JG21-250A型压力机机身的有限元分析及其优化设计,TG305
- PC200路缘石滑模机关键技术研究,U415.5
- 齿轮箱壳体的静力和振动阻尼研究,TH113
- 天线转台轴承齿轮系统有限元建模与分析,TH132.41
- 新型铝锭码垛机械手动静态性能分析与优化,TP241
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 一般性问题 > 安全保密
© 2012 www.xueweilunwen.com
|