基于二进制多态变形的恶意代码反检测技术研究

摘要

网络信息时代，Internet已深入到人们工作、生活的方方面面，其安全问题引起了社会和学术界的广泛关注。近年来，“病毒”、“漏洞”、“蠕虫”、“木马”、“后门”、“间谍软件”、“恶意程序”等术语已广为人知，以病毒、蠕虫、木马、后门和Rootkit等为主要表现形式的恶意代码正成为网络安全领域研究的焦点。 为保护系统和数据，如何尽可能地检测出具有入侵性的程序已成为当今信息安全领域一个活跃的研究分支。基于特征码的检测技术作为当前主要的恶意代码检测方式，广泛应用于各种传统的杀毒软件中。这种检测技术本质上是从恶意程序的机器代码中提取出一段特殊的字符串序列，以标识某种恶意代码，从而实现检测。 然而在网络信息战中，尤其是网络入侵和渗透过程中，恶意代码却扮演着特殊的重要角色，成为进攻的武器。因此，研究如何使恶意代码能更好地避免诸多检测程序的检测，实现反检测，延长其生存周期，具有极其特殊的意义。本课题旨在通过分析当前恶意代码常用的反检测技术，提出一种新的反检测方法，并结合网络信息战实际情况研制一套恶意代码反检测的工具软件，从而实现对网络信息战中间谍软件(木马、后门、Rootkit)这种的特殊恶意代码的隐蔽和保护。 恶意代码反检测与检测技术相互对抗。本文站在恶意代码反检测的角度，首先概括了当前恶意代码检测技术的研究现状，在分析比较了恶意代码的各种分析、检测方法和技术的基础上，重点分析了基于特征码检测这一主要的恶意代码检测技术。第二，在分析比较各种针对特征码检测的反检测措施的基础上，将传统多态变形技术原理引入恶意代码的反检测技术中，提出了一种新的基于二进制的多态变形技术方法。第三，在Windows平台下，研制出了一套基于二进制多态变形技术的工具套件。该套件通过变形目标间谍软件，改变其特征码，从而实现间谍软件的反检测，延长其生存周期。最后，通过实验证明了该技术及其工具套件在给定条件下，能够对间谍软件进行有效变形，使其具有良好的反检测能力。 “基于二进制多态变形的恶意代码反检测技术”及其工具套件在网络信息战实战应用中得到了使用部门的充分肯定。检索查新表明，论文中提出的技术方法在国内外网络安全领域的学术文献和技术报告中未见相同或相似的观点。

目录

文摘

英文文摘

声明

第一章绪论

1.1恶意代码反检测技术的现状

1.2课题的研究意义和目的

1.3课题主要内容及组织结构

第二章恶意代码检测技术的研究

2.1恶意代码的现状和发展趋势

2.2恶意代码检测的研究现状

2.3恶意代码的分析方法

2.3.1静态分析

2.3.2动态分析

2.3.3其他方法

2.4恶意代码的检测技术

2.4.1特征代码检测法

2.4.2校验和法

2.4.3其他方法

2.4.4小结

2.5基于特征码的恶意代码检测技术

2.5.1特征码提取

2.5.2特征码定位方法

第三章基于二进制多态变形的恶意代码反检测

3.1反检测的定义

3.2常用的恶意代码的反检测方法

3.2.1基于源代码的反检测

3.2.2基于二进制代码的反检测

3.3软件壳与变形

3.4多态变形技术

3.4.1多态变形的定义

3.4.2传统多态变形技术的分析

3.4.3常见的指令变换方法

3.5传统多态变形技术的缺陷

3.6基于二进制的多态变形

3.6.1基于二进制的多态变形方法

3.6.2关键点

3.7利用多态变形技术实现恶意代码的反检测

第四章基于二进制多态变形技术的工具套件设计实现

4.1总体设计

4.1.1功能目标

4.1.2总体结构

4.2特征码分析工具集的设计实现

4.2.1单一特征码分析工具的实现

4.2.2复合特征码分析工具的实现

4.3多态变形工具的设计实现

4.3.1多态变形工具的总体设计

4.3.2PE文件处理模块的实现

4.3.3反汇编/汇编引擎的设计和实现

4.3.4 OPCODE库的设计、实现和使用

4.3.5多态变形模块的设计实现

4.3.6指令修正模块的设计实现

4.3.7使用方法

4.4使用策略

第五章实验验证和后续展望

5.1实验验证

5.2技术存在的局限性

5.3后继展望

致谢

参考文献

攻硕期间取得的研究成果