基于二進(jìn)制多態(tài)變形的惡意代碼反檢測技術(shù)研究.pdf

1、網(wǎng)絡(luò)信息時代，Internet已深入到人們工作、生活的方方面面，其安全問題引起了社會和學(xué)術(shù)界的廣泛關(guān)注。近年來，“病毒”、“漏洞”、“蠕蟲”、“木馬”、“后門”、“間諜軟件”、“惡意程序”等術(shù)語已廣為人知，以病毒、蠕蟲、木馬、后門和Rootkit等為主要表現(xiàn)形式的惡意代碼正成為網(wǎng)絡(luò)安全領(lǐng)域研究的焦點(diǎn)。 為保護(hù)系統(tǒng)和數(shù)據(jù)，如何盡可能地檢測出具有入侵性的程序已成為當(dāng)今信息安全領(lǐng)域一個活躍的研究分支?；谔卣鞔a的檢測技術(shù)作為當(dāng)前主要的

2、惡意代碼檢測方式，廣泛應(yīng)用于各種傳統(tǒng)的殺毒軟件中。這種檢測技術(shù)本質(zhì)上是從惡意程序的機(jī)器代碼中提取出一段特殊的字符串序列，以標(biāo)識某種惡意代碼，從而實(shí)現(xiàn)檢測。 然而在網(wǎng)絡(luò)信息戰(zhàn)中，尤其是網(wǎng)絡(luò)入侵和滲透過程中，惡意代碼卻扮演著特殊的重要角色，成為進(jìn)攻的武器。因此，研究如何使惡意代碼能更好地避免諸多檢測程序的檢測，實(shí)現(xiàn)反檢測，延長其生存周期，具有極其特殊的意義。本課題旨在通過分析當(dāng)前惡意代碼常用的反檢測技術(shù)，提出一種新的反檢測方法，并結(jié)

3、合網(wǎng)絡(luò)信息戰(zhàn)實(shí)際情況研制一套惡意代碼反檢測的工具軟件，從而實(shí)現(xiàn)對網(wǎng)絡(luò)信息戰(zhàn)中間諜軟件(木馬、后門、Rootkit)這種的特殊惡意代碼的隱蔽和保護(hù)。 惡意代碼反檢測與檢測技術(shù)相互對抗。本文站在惡意代碼反檢測的角度，首先概括了當(dāng)前惡意代碼檢測技術(shù)的研究現(xiàn)狀，在分析比較了惡意代碼的各種分析、檢測方法和技術(shù)的基礎(chǔ)上，重點(diǎn)分析了基于特征碼檢測這一主要的惡意代碼檢測技術(shù)。第二，在分析比較各種針對特征碼檢測的反檢測措施的基礎(chǔ)上，將傳統(tǒng)多態(tài)變形

4、技術(shù)原理引入惡意代碼的反檢測技術(shù)中，提出了一種新的基于二進(jìn)制的多態(tài)變形技術(shù)方法。第三，在Windows平臺下，研制出了一套基于二進(jìn)制多態(tài)變形技術(shù)的工具套件。該套件通過變形目標(biāo)間諜軟件，改變其特征碼，從而實(shí)現(xiàn)間諜軟件的反檢測，延長其生存周期。最后，通過實(shí)驗(yàn)證明了該技術(shù)及其工具套件在給定條件下，能夠?qū)﹂g諜軟件進(jìn)行有效變形，使其具有良好的反檢測能力。 “基于二進(jìn)制多態(tài)變形的惡意代碼反檢測技術(shù)”及其工具套件在網(wǎng)絡(luò)信息戰(zhàn)實(shí)戰(zhàn)應(yīng)用中得到了使