Win32 PE文件病毒的检测方法研究

摘要

在当今开放式的信息环境中，随着Internet的日益普及，计算机及其网络技术在为人们生活、工作、学习提供极大便利的同时，也带来了各种安全隐患和威胁。其中危害最大、影响最深的是日益泛滥的计算机病毒。Windows操作系统是目前最广泛使用的PC操作系统，而PE文件是该平台上最广泛使用的一种文件格式，感染PE文件的病毒是该平台上影响最广和数量最多的一类文件型病毒。
　　为了对付PE文件病毒，人们开发出了许多反病毒技术，主要有特征码扫描技术、启发式扫描技术、虚拟机技术以及主动防御技术等。病毒特征码扫描技术是目前反病毒软件最广泛使用的PE文件病毒检测技术，同时也是目前检测该病毒最简单和最为有效的方法。但特征码扫描技术不能有效检测未知PE文件病毒，病毒库也需要不断的升级更新，病毒特征码的提取主要通过人工提取，病毒特征的提取速度和病毒库的升级速度远远落后于PE文件病毒的发展。
　　本文在上述背景下对 Windows平台下具有感染性的 PE文件病毒展开深入的研究。首先介绍了计算机病毒的相关知识，分别论述了病毒的定义、工作原理、病毒的传播机制、触发机制以及破坏机制。并以此作为切入点分析了PE文件格式和 PE文件病毒的原理、感染过程以及一些常用的技术。然后介绍了当前检测 PE文件病毒的主流技术如：特征码检测技术、虚拟机检测技术等。针对当前主流的特征码检测技术不能检测未知PE文件病毒的不足，本文提出了进程行为分析和文件特征分析相结合的方法来检测PE文件病毒。通过对PE文件病毒在感染过程中的动态行为的分析，得出了PE文件病毒在感染过程中的自我复制行为是病毒最根本的动态特征，以此为基础设计和实现了检测PE文件病毒的进程行为分析子系统。通过对PE文件病毒如何非法获取宿主文件控制权方法的研究，设计和实现了检测PE文件病毒的文件特征分析子系统。最后将进程行为分析与文件特征分析相结合提出了检测PE文件病毒的完整解决方案，根据该方案构建了原型系统并进行了测试，测试结果表明该检测系统能有效的检测已知和未知的PE文件病毒。

目录

封面

声明

中文摘要

英文摘要

目录

第一章 绪论

1.1 课题研究背景和意义

1.2 论文研究内容和工作

1.3 论文组织与结构

1.4 本章小结

第二章 PE文件病毒相关理论

2.1 病毒的定义和分类

2.2 PE文件病毒的基本特征

2.3 PE文件病毒的传播和触发机制

2.4 PE文件病毒分析

2.5 本章小结

第三章 PE文件病毒检测的相关技术

3.1 PE文件病毒检测的主要技术

3.2 PE文件病毒检测技术的发展趋势

3.3 本章小结

第四章Win32 PE文件病毒检测系统的研究与设计

4.1 病毒检测系统概述

4.2 病毒检测系统的总体架构图

4.3进程行为分析子系统的研究与设计

4.4文件特征分析子系统的研究与设计

4.5 本章小结

第五章Win32 PE文件病毒检测系统的实现

5.1检测系统的开发环境

5.2进程行为分析子系统的实现

5.3文件特征分析子系统的实现

5.4本章小结

第六章 实验与分析

6.1实验环境的构建

6.2实验流程与结果分析

6.3本章小结

第七章 总结与展望

1、本文工作总结

2、后续工作和研究前景

致谢

参考文献

攻硕期间取得的研究成果