基于Windows环境的计算机病毒防治技术研究及其检测设计

摘要

论文研究总结了网页病毒、宏病毒、邮件病毒的感染、传播及如何获得系统控制权机理，总结了防治脚本病毒的一般做法，并针对这些脚本病毒的特点提出了基于命令式的预防脚本病毒方案。Win32PE病毒是Windows系统下技巧性很强的病毒，主要感染PE式的可执行文件。笔者对PE格式进行了详细研究，总结了此类病毒用到的相关技术，如重定位、如何获取API函数地址等，并透彻分析了CIH病毒代码。通过对大量病毒和染毒文件的剖析，笔者总结出了一系列的与PE文件头、节表有关的染毒标志性行为，利用这些特征行为设计了基于PE文件状态的病毒检测方案，并对该方案的优缺点进行了分析。　　论文研究整理了病毒的常见反检测技术，包括隐藏、反跟踪、变形等。针对病毒在入侵后能够关闭杀毒软件，笔者设计了基于数字签名的类主动内核方案，并对该方案的相关问题进行了研究。针对病毒的加密变形，研究了虚拟机技术及在病毒检测方面的应用，设计了虚拟机破解病毒变形方案。因为现在病毒的传播途径主要依赖于网络，网络是主机感染病毒的主要来源，所以笔者设计了一个病毒防火墙，将前面检测各种病毒的设计方案运用其中，并对该方案的优缺点进行了分析。

目录

文摘

英文文摘

第1章绪论

1.1课题提出的背景及反病毒研究现状

1.2本课题研究的主要内容及论文组织

第2章WI NDOWS病毒

2.1计算机病毒一般特征

2.1.1基本特征

2.1.2分类

2.1.3基本机制

2.2脚本病毒

2.2.1网页病毒

2.2.2宏病毒

2.2.3邮件病毒

2.3 WIN32PE病毒

2.3.1 PE文件格式

2.3.2 Win32PE病毒机理

第3章WI NDOWS病毒的反检测技术

3.1隐藏技术

3.2反跟踪技术

3.2.1结构化异常处理

3.2.2反调试技术

3.2.3花指令

3.3变形技术

第4章针对病毒反检测技术的解决方案

4.1基于PKI数字签名技术实现类主动内核

4.1.1 PKI概述

4.1.2类主动内核

4.2虚拟机破解病毒变形

4.2.1虚拟机查毒的基本原理

4.2.2虚拟CPU的设计

4.3基于PE文件状态的病毒检测方案设计

4.3.1 PE文件病毒特征

4.3.2病毒检测引擎设计

4.3.3特征检测实现

4.3.4基于PE文件状态的病毒检测方案的特点

第5章蠕虫病毒及目前流行病毒

5.1蠕虫病毒的一般特征及传播趋势

5.2目前流行病毒

5.2.1 SCO炸弹(Worm.Mydoom.a)

5.2.2网络天空(Worm.Netsky.Bmm)

5.2.3冲击波病毒(W32.Blaster.Worm)

5.2.4琼斯(I-Worm.Jeans.a)病毒

5.3蠕虫病毒的防治

5.3.1一般防治措施

5.3.2基于攻击行为的着色判决PN机入侵检测系统模型

5.3.3江民科技的木马行为阻断技术

5.3.4与虚拟机相结合的着色判决PN机蠕虫检测系统

第6章基于内容的防毒防火墙设计

6.1防火墙概述

6.2防毒防火墙的整体设计

6.2.1设计思路

6.2.2整体框架和防火墙流量流程图

6.3防毒防火墙病毒扫描引擎设计

6.4本扫描引擎的优缺点

结论

致谢

参考文献

附录1 PE文件格式简介

攻读硕士学位期间发表的学术论文