学位论文 > 优秀研究生学位论文题录展示

恶意PDF文档的分析

作 者: 武雪峰
导 师: 王美琴
学 校: 山东大学
专 业: 信息安全
关键词: PDF文档 恶意代码 静态分析 动态行为分析
分类号: TP309
类 型: 硕士论文
年 份: 2012年
下 载: 95次
引 用: 0次
阅 读: 论文下载
 

内容摘要


随着互联网的高速发展和办公自动化的日益普及,PDF(portable document format)文件已经成为全球电子文档分发的开放式标准,是继PostScript文件格式之后的一种新的输出文件格式。PDF凭借着它的种种优势,克服了电子文件共享过程中经常遇到的识别问题,使用户可以在网上自由地浏览文件和方便地交换文件,它成为进行现代电子文档分发的理想格式。但是PDF文档给人们的工作和生活带来许多便利的同时,也带来了许多问题。其中,尤其以含有恶意代码的PDF文档所造成的危害最大最广,给企业和用户造成了巨大的不可挽回的损失,给互联网应用带来了严峻的威胁和挑战。由于PDF文档的高实用性和普遍适应性,因而更加加速了恶意代码的快速传播,使其成为恶意代码常用有效载体。由于恶意代码对计算机的严重破坏性,检测和防止含有恶意代码的PDF文档已日益成为计算机安全领域的重要目标。在本文中,首先详细介绍了PDF文档的物理结构和逻辑结构,在此基础上构建了PDF文档结构的自动解析系统,此系统可以快速准确的查看和提取PDF文档结构中各部分的二进制数据,尤其是对各类压缩流对象可以快速准确解压和提取,这为进一步的检测和分析提供数据支持。其次,对不同恶意PDF文档原理进行了深入的研究和分析,研究了各类主流恶意PDF文档中代码的传播方式和传播模型,接着对现有恶意PDF文档的攻击于段,反查杀方式进行分析和总结,以此为基础研究恶意PDF文档检测的方法和可行性。并且,构建了Javascript(?)弋码的解码引擎,实现了对PDF文档中提取的Javascript代码和压缩混淆的Javascript代码的解码分析。第三,本文通过动态分析和静态分析相结合的方式实现了对PDF文档中恶意代码的分析和恶意行为特征的提取,在YARA恶意特征规则库的基础上构建了新的恶意特征规则识别库,并建立了一套快速增加恶意特征识别库中特征码的方法,从而有效的提高了对PDF文档中包含的恶意代码的识别率。第四,构建了Libeum仿真环境。首先,通过Distorm3对恶意PDF文档中提取的shellcode二进制代码进行反汇编。其次,使用Libeum对反汇编代码进行X86指令解析、注册表仿真和基本的FPU仿真。同时,实现对shellcode的检测,包括使用GetPC启发式检测、静态分析、二进制方式的动态分析、Win32API HOOK等。通过仿真模拟方式进行行为自动化分析,判定该shellcode代码行为的恶意性。第五,通过对多个恶意PDF文档样本测试实验证明,本文提出的恶意PDF文档分析检测系统效果明显,尤其是对包含压缩混淆型Javascript(?)弋码的恶意PDF文档能够快速检测。同时,该分析系统能够为恶意PDF文档处置提供快速、准确的直接分析资料,可以成为系统安全员检测恶意PDF文档的重要的工具。

全文目录


摘要  8-10
ABSTRACT  10-12
第一章 绪论  12-16
  1.1 选题背景  12-13
  1.2 国内外研究现状  13-14
  1.3 课题的研究内容  14-15
  1.4 论文的组织结构  15-16
第二章 PDF文档格式详解及解析  16-27
  2.1 PDF文档简介  16-17
  2.2 PDF文档的物理结构  17-20
  2.3 PDF文档的逻辑结构  20-23
    2.3.1 Catalog根节点  20-21
    2.3.2 Pages页而树  21-22
    2.3.3 Page页对象  22
    2.3.4 Outlines书签树  22-23
  2.4 PDF文档结构解析系统构建  23-26
  2.5 本章小结  26-27
第三章 恶意PDF文档的静态分析  27-37
  3.1 PDF文档中Javascript代码的分析  27-28
  3.2 恶意PDF文档自动静态分析平台构架  28-36
    3.2.1 特征识别库的建立  28
    3.2.2 特征识别码的构建法则  28-29
    3.2.3 javascript解码引擎  29
    3.2.4 静态分析流程  29-36
  3.3 本章小结  36-37
第四章 恶意PDF文档的动态分析系统  37-46
  4.1 静态分析和动态分析优劣势比较  37
  4.2 动态分析方法介绍  37-39
  4.3 总体设计目标  39
  4.4 仿真模拟型动态行为分析系统的构建  39-43
    4.4.1 shellcode代码反编译  39-41
    4.4.2 汇编代码模拟执行  41-43
  4.5 形成完整的检测报告  43-45
  4.6 本章小结  45-46
第五章 系统测试和结果分析  46-48
  5.1 样本测试环境  46
  5.2 系统性能测试结果  46-48
第六章 总结与展望  48-50
  6.1 工作总结  48-49
  6.2 下一步工作展望  49-50
附录A  50-51
参考文献  51-54
致谢  54-55
学位论文评阅及答辩情况表  55

相似论文

  1. 基于主动方式的恶意代码检测技术研究,TP393.08
  2. 日本小学音乐科教材分析研究,G623.71
  3. 基于扩展下推自动机的Java程序安全相关行为模型自动生成,TP311.52
  4. Web挂马检测系统的设计与实现,TP393.08
  5. 转向架中心销有限元分析及拓扑优化,U270.33
  6. μC/OS-Ⅱ实时内核最坏情况执行时间的研究,TP316.84
  7. 基于启发式算法的恶意代码检测系统研究与实现,TP393.08
  8. 博弈论在信息安全投资中的应用,F49;F224.32
  9. 基于多移动Agent的大规模网络恶意代码防御机制的研究,TP393.08
  10. 基于内容的网页恶意代码检测的研究与实现,TP393.092
  11. 基于多粒度依赖关系图的变更影响分析方法研究,TP311.53
  12. 永磁接触器设计及静动态特性分析,TM572.1
  13. 基于多样化对象所有权的软件可信性质研究,TP311.52
  14. 基于统一可扩展固件接口的恶意代码防范系统研究,TP393.08
  15. 基于学习的恶意网页智能检测系统,TP393.08
  16. 方滑枕变形处理及补偿的研究,TG548
  17. JG21-250A型压力机机身的有限元分析及其优化设计,TG305
  18. PC200路缘石滑模机关键技术研究,U415.5
  19. 齿轮箱壳体的静力和振动阻尼研究,TH113
  20. 天线转台轴承齿轮系统有限元建模与分析,TH132.41
  21. 新型铝锭码垛机械手动静态性能分析与优化,TP241

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 一般性问题 > 安全保密
© 2012 www.xueweilunwen.com