学位论文 > 优秀研究生学位论文题录展示
基于反编译的恶意代码检测关键技术研究与实现
作 者: 张一弛
导 师: 庞建民
学 校: 解放军信息工程大学
专 业: 计算机应用技术
关键词: 恶意代码 反编译 检测 控制流图 混淆 库函数调用识别
分类号: TP309
类 型: 硕士论文
年 份: 2009年
下 载: 78次
引 用: 0次
阅 读: 论文下载
内容摘要
恶意代码是当前计算机系统安全的主要威胁之一,安全厂商和相关研究机构都很重视研究新的检测方法和技术,以便削弱恶意代码的威胁。由于当前的恶意代码普遍采用混淆技术,使得常规检测方法无法有效地检测恶意代码。反编译逆向分析技术是一种用于理解和分析二进制代码的技术,它通过静态方法理解二进制代码将要执行的动作,对发现可执行程序中的潜在威胁具有较大优势。因此,研究基于反编译的恶意代码检测具有重要意义。本文基于对恶意代码混淆技术的分析与理解,深入研究了反编译技术在恶意代码检测中的应用手段和方法。首先,将恶意代码使用的混淆技术按照反编译的过程分为两类,重点研究了干扰反汇编的垃圾代码插入和子程序异常返回等情况。采用虚拟堆栈、二次解码和控制流间隙扫描等方法,设计并实现了相应的恶意代码反汇编框架及算法。之后,针对恶意程序中使用动态搜索、加载调用库函数等情况,提出了根据汇编指令序列特征和库函数名称存放特点识别库函数调用行为的方法及算法。最后,在恶意行为检测方法上,提出了一种基于子图匹配的恶意代码检测方法,通过将程序的控制流图与恶意行为库中定义的恶意行为进行比较,识别可执行程序中含有的可疑行为,从而判断出程序的恶意程度。本文提出的上述方法、算法和技术已经应用于国家863项目所研发的恶意代码分析与检测原型系统RADUX (Reverse Analysis for Detecting Unsafe eXecutables)的开发过程中。该原型系统已经通过了两家测试机构的测试,并已经投入使用,测试中该系统与多个常用的逆向分析工具、知名的杀毒软件进行了比较,测试和使用结果表明,本文所提出的恶意程序反汇编算法、库函数调用识别方法以及基于控制流图的检测方法,在可行性、有效性和正确性上都得到了良好的验证。第V页
|
全文目录
表目录 6-7 图目录 7-8 摘要 8-9 ABSTRACT 9-10 第一章 绪论 10-18 1.1 课题研究背景 10-13 1.1.1 恶意代码给信息安全带来的问题 10-11 1.1.2 反编译在恶意代码检测上的优势 11-13 1.2 研究内容 13-15 1.2.1 课题来源 13-14 1.2.2 课题研究的重点 14-15 1.3 国内外发展现状 15-16 1.3.1 反编译技术 15 1.3.2 反病毒技术 15-16 1.4 论文的主要工作和创新 16-17 1.5 论文的组织结构 17-18 第二章 恶意程序的反汇编算法设计与实现 18-36 2.1 静态反汇编算法 18-19 2.1.1 线性扫描反汇编算法 18-19 2.1.2 行进递归反汇编算法 19 2.2 恶意程序中常用的干扰反汇编的混淆技术 19-23 2.2.1 反汇编自修复现象 20 2.2.2 垃圾数据插入 20-22 2.2.3 子程序异常返回 22-23 2.3 干扰反汇编阶段混淆的形式化定义 23-27 2.3.1 代码混淆的分类 23-25 2.3.2 干扰反汇编混淆的形式化定义 25-27 2.4 恶意程序反汇编框架的设计与实现 27-34 2.4.1 指令解码器设计 27-29 2.4.2 子程序异常返回的识别 29-33 2.4.3 代码间空隙扫描 33-34 2.5 本章小结 34-36 第三章 恶意程序中库函数调用的识别 36-44 3.1 文件动态链接机制分析 36-38 3.1.1 PE文件导入表的结构 36-37 3.1.2 调用导入函数的指令 37-38 3.2 恶意程序调用库函数的方式 38-40 3.2.1 硬编码调用库函数 38-39 3.2.2 定义同名函数调用库函数 39-40 3.2.3 数组方式调用库函数 40 3.3 库函数调用行为的识别 40-43 3.3.1 指令序列分析 42 3.3.2 函数名存放搜索 42 3.3.3 库函数调用识别 42-43 3.4 本章小结 43-44 第四章 基于子图匹配的恶意行为检测 44-52 4.1 研究背景 44-45 4.1.1 恶意行为识别 44 4.1.2 子图匹配 44-45 4.2 检测方案设计 45-47 4.2.1 控制流图的构建 46 4.2.2 恶意行为库的建立 46-47 4.3 恶意行为检测算法 47-51 4.3.1 过程内检测算法 47-50 4.3.2 过程间检测算法 50-51 4.4 本章小结 51-52 第五章 测试与实验分析 52-56 5.1 RADUX测试情况 52-55 5.1.1 反汇编正确性测试 52-53 5.1.2 库函数调用识别测试 53-54 5.1.3 恶意程序识别测试 54 5.1.4 良性程序误报率测试 54-55 5.2 测试结果分析 55-56 结束语 56-58 参考文献 58-62 作者简历 攻读硕士学位期间完成的主要工作 62-64 致谢 64
|
相似论文
- 基于DSP的离焦信号同步采集与处理技术研究,TH741
- 慢光光纤陀螺信号检测电路设计,V241.5
- 光纤陀螺信号处理线路FPGA实现,V241.5
- 基于ARM9机车信号系统检测装置的设计与优化,U284.91
- 路面平整度检测系统中的数据采集和定位技术研究,U416.2
- 基于SVM的高速公路路面浅层病害的自动检测算法研究,U418.6
- 航天继电器时间参数测试分析技术的研究,TM58
- HID灯整流效应的研究,TM923.32
- 基于均值匹配的Turbo码联合译码的Matlab实现,TN911.22
- 天波超视距雷达目标仿真与信号处理算法研究,TN958.93
- 图像拼接技术研究,TP391.41
- 基于人眼检测的驾驶员疲劳状态识别技术,TP391.41
- 双传感器图像联合目标检测及系统实现研究,TP391.41
- 舌图像中瘀斑瘀点检测技术研究,TP391.41
- 多币种纸币处理技术的研究与实现,TP391.41
- PCB视觉检测系统中相机标定算法与位姿测定技术,TP391.41
- 基于嵌入式图像处理单元的运动目标跟踪系统研究,TP391.41
- 基于主动方式的恶意代码检测技术研究,TP393.08
- 基于行为特征的IRC僵尸网络检测方法研究,TP393.08
- 面向嵌入式超声检测系统的图形接口设计与应用,TP274.53
- 移动机器人视觉检测和跟踪研究,TP242.62
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 一般性问题 > 安全保密
© 2012 www.xueweilunwen.com
|