PE文件自保护技术研究

摘要

当今社会，网络技术迅速发展，信息交换也渐近频繁，人们的生活与工作变得愈加便捷之际，计算机与网络犯罪的数量也在持续飙升，这给我国乃至全球的经济安全都带来了巨大的冲击，专门对抗计算机与网络犯罪的计算机取证技术便应运而生。由于计算机取证软件类恶意文件的性质，使得它们在面对当前最前沿的云查杀环境时，时常会“无所遁形”，既无法完成取证人员的既定需求，还会引起犯罪嫌疑人的高度警觉，所以研究在文件查杀模式下计算机取证软件的生存方式变的尤为重要。 本文通过分析云查杀技术及常见的PE文件自保护技术，确定被广泛应用于知识产权保护领域的代码变形技术是一个行之有效的方法，通过分析研究PE文件代码变形技术，包括PE文件反汇编方法、随机花指令加密方法以及反逆向调试方法，提出了一种基于增强LZMA算法的PE文件代码变形方法。针对传统LZMA算法在PE文件自保护领域应用的不足，本文设计了包括加密、分块并行、字典搜索策略、输出元组以及加壳五个方面的改进方法，使其达到更好的压缩效果。 基于上述理论研究，本文构建了一个PE文件自保护框架，并将其应用到实际的网络信息采集系统中，针对各模块及在云查杀环境下的生存效果进行了实验验证。实验结果表明，本文设计的PE文件自保护框架应用效果良好，可以在不改变计算机取证软件本身功能执行的前提下，较好的实现其在主流云查杀环境下可生存的需求。

目录

声明

摘要

第一章 绪论

1．1 研究背景与意义

1．2 国内外研究现状

1．2．1 国外研究现状

1．2．2 国内研究现状

1．3 本文研究的主要内容和创新点

1．3．1 本文研究的主要内容

1．3．2 本课题的创新点

1．4 本文的组织架构

第二章 相关技术

2．1 云查杀技术

2．1．1 云计算

2．1．2 云安全

2．1．3 逆向工程分析技术

2．2 常见PE文件自保护技术

2．2．1 PE文件格式分析

2．2．2 传统文件查杀模式下的PE文件自保护技术

2．2．3 代码变形技术概述

2．3 传统LZMA算法概述

2．4 本章小结

第三章 基于增强LZMA算法的PE文件代码变形方法

3．1 PE文件代码变形方法研究

3．1．1 PE文件反汇编方法

3．1．2 随机花指令加密方法

3．1．3 反逆向调试方法

3．2 代码变形的增强LZMA算法

3．2．1 代码变形的压缩机制分析

3．2．2 LZMA算法的改进方式

3．3 基于增强LZMA算法的PE文件代码变形模型

3．4 本章总结

第四章 动态取证系统设计及实验结果分析

4．1 PE文件自保护框架总体设计

4．2 网络信息采集系统搭建

4．3 功能模块实验及分析

4．3．1 预处理模块实验及分析

4．3．2 反汇编模块实验及分析

4．3．3 随机花指令加密模块实验及分析

4．3．4 监控反调试模块实验及分析

4．3．5 基于增强LZMA算法的压缩变形模块实验及分析

4．4 云查杀环境下的生存效果实验及分析

4．5 本章小结

第五章 结论与展望

5．1 结论

5．2 展望

参考文献

致谢

研究成果及发表的学术论文

作者及导师介绍