Win32 PE文件病毒的檢測(cè)方法研究.pdf

1、在當(dāng)今開放式的信息環(huán)境中，隨著Internet的日益普及，計(jì)算機(jī)及其網(wǎng)絡(luò)技術(shù)在為人們生活、工作、學(xué)習(xí)提供極大便利的同時(shí)，也帶來(lái)了各種安全隱患和威脅。其中危害最大、影響最深的是日益泛濫的計(jì)算機(jī)病毒。Windows操作系統(tǒng)是目前最廣泛使用的PC操作系統(tǒng)，而PE文件是該平臺(tái)上最廣泛使用的一種文件格式，感染PE文件的病毒是該平臺(tái)上影響最廣和數(shù)量最多的一類文件型病毒。
　　為了對(duì)付PE文件病毒，人們開發(fā)出了許多反病毒技術(shù)，主要有特征碼掃描技

2、術(shù)、啟發(fā)式掃描技術(shù)、虛擬機(jī)技術(shù)以及主動(dòng)防御技術(shù)等。病毒特征碼掃描技術(shù)是目前反病毒軟件最廣泛使用的PE文件病毒檢測(cè)技術(shù)，同時(shí)也是目前檢測(cè)該病毒最簡(jiǎn)單和最為有效的方法。但特征碼掃描技術(shù)不能有效檢測(cè)未知PE文件病毒，病毒庫(kù)也需要不斷的升級(jí)更新，病毒特征碼的提取主要通過(guò)人工提取，病毒特征的提取速度和病毒庫(kù)的升級(jí)速度遠(yuǎn)遠(yuǎn)落后于PE文件病毒的發(fā)展。
　　本文在上述背景下對(duì) Windows平臺(tái)下具有感染性的 PE文件病毒展開深入的研究。首先介紹

3、了計(jì)算機(jī)病毒的相關(guān)知識(shí)，分別論述了病毒的定義、工作原理、病毒的傳播機(jī)制、觸發(fā)機(jī)制以及破壞機(jī)制。并以此作為切入點(diǎn)分析了PE文件格式和 PE文件病毒的原理、感染過(guò)程以及一些常用的技術(shù)。然后介紹了當(dāng)前檢測(cè) PE文件病毒的主流技術(shù)如：特征碼檢測(cè)技術(shù)、虛擬機(jī)檢測(cè)技術(shù)等。針對(duì)當(dāng)前主流的特征碼檢測(cè)技術(shù)不能檢測(cè)未知PE文件病毒的不足，本文提出了進(jìn)程行為分析和文件特征分析相結(jié)合的方法來(lái)檢測(cè)PE文件病毒。通過(guò)對(duì)PE文件病毒在感染過(guò)程中的動(dòng)態(tài)行為的分析，得出