基于语义的win32 PE病毒行为检测方法研究

摘要

随着科学科技的发展，尤其是信息化进程的不断加快，计算机及互联网在人们日常生活中发挥的作用越来越大，普及率也越来越高。计算机在各方面给人们带来便利、高效率的同时，计算机及网络的安全问题也接踵而至，计算机病毒每年都会造成巨大的经济损失。
　　 计算机病毒的不断出现也带动了反病毒技术的发展，反病毒的研究主要以如何检测程序是病毒程序为出发点，例如常用的基于特征值匹配技术，通过与病毒库中的特征值进行匹配，来判定程序是不是病毒程序。为了防止自身被检测出来，计算机病毒针对特征值匹配的方法采取了变形技术。本文以病毒使用的变形技术为研究对象，分析病毒使用的几种变形技术，设计了基于语义的病毒行为检测方法，以判断程序隐藏恶意行为的情况。
　　 本文针对Win32 PE病毒，通过反汇编手段，设计反汇编模块，获取程序的汇编代码，使用设计的中间表示形式对汇编代码进行转化，并建立设计程序流程图用以描述病毒。使用中间语言建立恶意行为模板，设计行为模板与待检测程序流程图进行指令匹配的方法。流程图与模板存在相同指令的匹配时，利用变量的定义使用关系来确定模板表示的恶意行为在被检测的程序中是否存在。
　　 实验结果表明，对采用病毒变形技术变形的代码进行检测，使用基于定义使用关系的语义方法是有效的。该方法对于变形技术中的无效指令插入技术、程序流程改变技术、寄存器替换技术完全有效，对于相同功能指令替换技术部分有效。对实际病毒文件检测也证明，该方法对病毒及其变种有较好的检测效果。

目录

文摘

英文文摘

第一章 绪论

第一节 课题研究背景

第二节 研究内容及目的

第三节 论文的组织结构

第二章 计算机病毒基本知识及病毒变形技术

第一节 计算机病毒的基本知识

2.1.1 计算机病毒的基本概念

2.1.2 常见病毒简介

2.1.3 计算机病毒的发展趋势

第二节 病毒变形技术

2.2.1 无效指令的插入

2.2.2 指令重新排序

2.2.3 寄存器重新分配

2.2.4 等效指令的替换

第三节 本章小结

第三章 基于语义PE病毒行为检测方法的相关技术

第一节 反汇编技术

3.1.1 汇编语言

3.1.2 反汇编的作用

3.1.3 如何反汇编

3.1.4 反汇编软件IDA pro简介

第二节 PE文件格式分析及PE病毒简介

3.2.1 PE文件结构分析

3.2.2 PE病毒的基本原理

第三节 本章小结

第四章 基于语义PE病毒行为检测方法

第一节 基于语义行为检测方法流程图的生成

4.1.1 汇编代码的获取

4.1.2 中间语言表示形式

4.1.3 程序执行流程图的生成

第二节 基于语义行为检测方法模板的设计

第三节 基于语义行为检测方法

4.3.1 基于语义行为检测方法的简单证明

4.3.2 基于定义使用关系的语义检测方法

第四节 本章小结

第五章 实验及结果分析

第一节 具体实例描述

第二节 分析实验

第三节 本章小结

第六章 总结与展望

参考文献

致谢

个人简历