首页> 正文

基于沙盒仿真的可执行程序恶意代码检测工具的研究与实现

2020-11-29阅读(578)

基于沙盒仿真的可执行程序恶意代码检测工具的研究与实现

论文摘要

随着计算机的普及,网络在人们的生活中发挥着越来越重要的作用,但恶意代码和网络攻击也日益频繁,造成的危害也越来越大,对恶意代码的研究和分析工作就越来越重要。面对恶意代码的复杂性和多样性,传统的基于特征码检测的静态方法难以检测出未知的恶意代码,而沙盒技术可以对可执行程序进行动态分析与检测,在一定程度上弥补了静态方法的不足。在对基于传统沙盒的分析方法深入研究的基础上,本文提出了一种基于沙盒仿真的恶意代码动态分析方法。该方法把仿真技术和沙盒技术结合起来,保证了检测的完整性和系统的无破坏性;另外,该方法还根据恶意代码的动态行为及其对计算机系统的影响,对其恶意性进行了分级,并能够通过动态分析自动报告恶意代码的恶意等级,使得用户可以一目了然地看出被测程序的恶意程度。基于该方法,本文设计并实现了一款针对可执行程序的恶意代码检测工具——MCDT_Sandbox。与以前的工具相比,本文实现的工具在检测方面有以下四个优点:第一、能够对未知的恶意代码进行检测;第二、有针对性的截获API,在一定程度上缩小了检测范围,提高了检测效率;第三、使用沙盒仿真技术,保证了检测的完整性和系统的无破坏性;第四、能够自动分析并报告被测程序的恶意等级,使得用户更直接的知道其恶意程度。另外,在系统的设计上采用了面向组件的设计思想,使得各个组件之间的耦合度很低,提高了程序的可读性和可扩展性。最后,作者利用该检测工具对“黑炸弹”和“熊猫烧香”等典型的恶意代码程序进行了检测,实验结果证明本文提出的检测方法是可行的,实现的工具是有效的。

论文目录

  • 摘要
  • ABSTRACT
  • 第一章 绪论
  • 1.1 课题研究背景与意义
  • 1.1.1 恶意代码及其危害
  • 1.1.2 恶意代码的历史与传播趋势
  • 1.1.3 恶意代码及其检测技术的研究意义
  • 1.2 研究现状
  • 1.3 本文工作
  • 1.4 论文结构
  • 第二章 课题相关技术分析与介绍
  • 2.1 恶意代码分类及其攻击方式研究
  • 2.1.1 计算机病毒
  • 2.1.2 特洛伊木马
  • 2.1.3 蠕虫
  • 2.1.4 逻辑炸弹
  • 2.1.5 病菌
  • 2.2 恶意代码分析技术研究
  • 2.2.1 静态分析方法
  • 2.2.2 动态分析方法
  • 2.2.3 两种分析方法优缺点分析
  • 2.3 沙盒技术研究
  • 2.3.1 沙盒概述
  • 2.3.2 沙盒技术的实现方法分析
  • 2.3.3 混合型沙盒的实现机制分析
  • 2.3.4 Java 虚拟机
  • 2.4 截获与远程注入技术研究
  • 2.4.1 API Hook 技术研究
  • 2.4.2 DLL 远程注入技术研究
  • 2.4.3 Detours 技术研究
  • 2.5 本章小结
  • 第三章 基于沙盒仿真的动态分析技术
  • 3.1 基于传统沙盒的分析方法
  • 3.1.1 SpyProxy
  • 3.1.2 CWSandbox
  • 3.2 基于沙盒仿真的动态分析方法
  • 3.2.1 基于沙盒仿真的动态分析方法的要点
  • 3.2.2 沙盒权限分配策略
  • 3.2.3 沙盒监控策略
  • 3.2.4 沙盒仿真策略
  • 3.2.5 恶意性分析与定级
  • 3.2.6 与虚拟机方法的区别
  • 3.3 基于沙盒仿真的动态分析方法和传统沙盒的比较
  • Sandbox 与SpyProxy 比较'>3.3.1 MCDTSandbox 与SpyProxy 比较
  • Sandbox 与CWSandbox 比较'>3.3.2 MCDTSandbox 与CWSandbox 比较
  • 3.4 本章小结
  • 第四章 基于沙盒仿真的恶意代码检测框架
  • 4.1 系统设计要求
  • 4.2 整体框架
  • 4.2.1 提交文件管理器
  • 4.2.2 沙盒检测器
  • 4.2.3 报表管理器
  • 4.2.4 邮件管理器
  • 4.3 系统流程
  • 4.4 总体设计方案
  • 4.5 本章小结
  • 第五章 系统详细设计与实现
  • 5.1 基于沙盒仿真的检测器
  • 5.1.1 利用API Hook 和远程注入技术实现监控器
  • 5.1.2 基于沙盒权限的仿真器
  • 5.1.3 动态跟踪分析器
  • 5.1.4 沙盒检测器的界面说明
  • 5.2 提交文件管理器
  • 5.3 报表输出管理器
  • 5.3.1 操作报表组件
  • 5.3.2 结果输出组件
  • 5.3.3 报表输出管理器的界面实现
  • 5.4 邮件管理器
  • 5.5 实现过程中遇到的问题与解决方案
  • 5.6 本章小结
  • 第六章 系统评测与分析
  • 6.1 “黑炸弹”的测试与分析
  • 6.1.1 “黑炸弹”简介
  • 6.1.2 测试结果与分析
  • 6.2 “熊猫烧香”的测试与分析
  • 6.2.1 “熊猫烧香”简介
  • 6.2.2 测试结果与分析
  • 6.3 本章小结
  • 第七章 结束语
  • 7.1 论文工作总结
  • 7.2 工具优点分析
  • 7.3 工具实用性评估
  • 7.4 下一步工作
  • 致谢
  • 参考文献
  • 攻读硕士期间发表的论文

    • 相关论文文献

    • [1].代码对比与动态规划[J]. 电脑编程技巧与维护 2017(03)
    • [2].什么样的代码才是好代码[J]. 计算机与网络 2017(06)
    • [3].安全通论(14)——病毒式恶意代码的宏观行为分析[J]. 成都信息工程大学学报 2017(01)
    • [4].恶意代码同源判定技术综述[J]. 通信技术 2017(07)
    • [5].基于方法的克隆代码检测[J]. 信息与电脑(理论版) 2017(13)
    • [6].市代码[J]. 山西教育(招考) 2020(03)
    • [7].有关信息代码[J]. 山西教育(招考) 2019(02)
    • [8].关于机场的冷知识[J]. 意林 2019(22)
    • [9].市代码[J]. 山西教育(招考) 2016(08)
    • [10].利用代码重构改善软件设计[J]. 信息记录材料 2020(09)
    • [11].代码自动生成及代码上下文分析研究综述[J]. 数据通信 2020(02)
    • [12].智能代码补全研究综述[J]. 软件学报 2020(05)
    • [13].基于文本分类技术的恶意代码检测工具应用[J]. 科技经济导刊 2020(27)
    • [14].克隆代码映射的方法与应用[J]. 计算机工程与应用 2017(06)
    • [15].基于增强描述的代码搜索方法[J]. 软件学报 2017(06)
    • [16].银行代码安全审计工作探索与实践[J]. 网络安全技术与应用 2017(08)
    • [17].重视统一信用代码的应用[J]. 浙江经济 2017(19)
    • [18].代码依恋检测与重构研究[J]. 电子科技 2016(11)
    • [19].基于相识度的恶意代码检测[J]. 计算机科学 2015(01)
    • [20].有关信息代码[J]. 山西教育(招考) 2018(03)
    • [21].有关信息代码[J]. 山西教育(招考) 2016(Z1)
    • [22].有关信息代码[J]. 山西教育(招考) 2011(08)
    • [23].基于模糊识别恶意代码检测技术的研究[J]. 微电子学与计算机 2014(06)
    • [24].恶意代码加壳脱壳技术[J]. 辽宁警专学报 2014(05)
    • [25].代码复查的要点探讨[J]. 技术与市场 2013(06)
    • [26].代码规制:构建安全文明网络的必由之路[J]. 保密科学技术 2013(07)
    • [27].消除隔阂,提升效率——MATHWORKS推出基于MATLAB生成HDL代码的产品[J]. 世界电子元器件 2012(05)
    • [28].C~#托管代码调用非托管代码参数传递的实现方法[J]. 软件导刊 2011(01)
    • [29].恶意代码与信息安全[J]. 硅谷 2011(18)
    • [30].代码证书遗失声明[J]. 大众标准化 2010(12)

    标签:;  ;  ;  ;  ;  ;  

    基于沙盒仿真的可执行程序恶意代码检测工具的研究与实现
    下载Doc文档

    猜你喜欢

    © 2024 毕速过 版权所有 鄂ICP备12018319号-5