反病毒技术的探讨.doc
约49页DOC格式手机打开展开
反病毒技术的探讨,页数49 字数39582摘要 反计算机病毒做为计算机安全问题的一个重要组成部分已日益受到人们的重视。本文将对当今先进的病毒/反病毒技术做全面而细致的介绍,重点当然放在了反病毒上,特别是虚拟机和实时监控技术。在论文中我将首先介绍几种当今较为流行的病毒技术,包括获取系统核心态特权级,驻留,截获系统操作,变形...
内容介绍
此文档由会员 海底捞月 发布
反病毒技术的探讨
页数 49 字数 39582
摘 要
反计算机病毒做为计算机安全问题的一个重要组成部分已日益受到人们的重视。本文将对当今先进的病毒/反病毒技术做全面而细致的介绍,重点当然放在了反病毒上,特别是虚拟机和实时监控技术。
在论文中我将首先介绍几种当今较为流行的病毒技术,包括获取系统核心态特权级,驻留,截获系统操作,变形和加密等。然后我将分五节详细讨论虚拟机技术:第一节简单介绍一下虚拟机的概论;第二节介绍加密变形病毒,我会分析两个著名变形病毒的解密子;第三节是虚拟机实现技术详解,其中会对两种不同方案进行比较,同时将剖析一个查毒用虚拟机的总体控制结构;第四节主要是对特定指令处理函数的分析;最后在第五节中我列出了一些反虚拟执行技术做为今后改进的参照。论文的第三章主要介绍实时监控技术,由于win9x和winnt/2000系统机制和驱动模型不同,所以我将会分成两个操作系统进行讨论。其中涉及的技术很广泛:包括驱动编程技术,文件钩挂,特权级间通信等等。
总之,本论文介绍的技术涉及操作系统底层机制,难度较大;本论文提供的代码,包括一个虚拟机C语言源代码和两个病毒实时监控驱动程序反汇编代码,具有一定的研究和实用价值。
关键字:病毒,虚拟机,实时监控
目 录
1.绪 论………………………………………………………….1
1. 1课题背景………………………………………………………………1
1.2当今病毒技术的发展状况……………………………………………2
1.2.1系统核心态病毒……………………………………………………2
1.2.2驻留病毒……………………………………………………………4
1.2.3截获系统操作………………………………………………………5
1.2.4加密变形病毒………………………………………………………7
1.2.5反跟踪/反虚拟执行病毒………………………………………….7
1.2.6直接API调用………………………………………………………7
1.2.7病毒隐藏…………………………………………………………..9
1.2.8病毒特殊感染法…………………………………………………..9
2.虚拟机查毒………………………………………………….11
2.1虚拟机概论…………………………………………………………. 11
2. 2加密变形病毒……………………………………………………….12
2.3虚拟机实现技术详解……………………………………………….15
2.4虚拟机代码剖析……………………………………………………..21
2.4.1不依赖标志寄存器指令模拟函数的分析……………………….21
2.4.2依赖标志寄存器指令模拟函数的分析………………………….22
2.5反虚拟机技术…………………………………………………………23
3.病毒实时监控………………………………………………25
3.1实时监控概论……………………………………………………….25
3.2病毒实时监控实现技术概论……………………………………….25
3.3WIN9X下的病毒实时监控…………………………………………..27
3.3.1实现技术详解………………………………………………….27
3.3.2程序结构与流程……………………………………………….30
3.3.3HOOKSYS.VXD逆向工程代码剖析……………………………..32
3.3.3.1钩子函数入口代码…………………………………………….33
3.3.3.2取得当前进程名称代码……………………………………….34
3.3.3.3通信部分代码………………………………………………….35
3.4WINNT/2000下的病毒实时监控…………………………………….36
3.4.1实现技术详解………………………………………………….36
3.4.2程序结构与流程……………………………………………….42
3.4.3HOOKSYS.SYS逆向工程代码剖析……………………………..44
3.4.3.1取得当前进程名称代码……………………………………….44
3.4.3.2启动钩子函数工作代码……………………………………….45
3.4.3.3映射系统内存至用户空间代码……………………………….45
结论……………………………………………………………..47
致谢……………………………………………………………..48
主要参考文献…………………………………………………..49
主要参考文献
【1】David A. Solomon, Mark Russinovich 《Inside Microsoft Windows 2000》
September 2000
【2】David A. Solomon 《Inside Windows NT》 May 1998
【3】Prasad Dabak,Sandeep Phadke,Milind Borate 《Undocumented Windows NT》
October 1999
【4】Matt Pietrek 《Windows 95 System Programming Secrets》 March 1996
【5】Walter Oney 《System Programming for Windows 95》 March 1996
页数 49 字数 39582
摘 要
反计算机病毒做为计算机安全问题的一个重要组成部分已日益受到人们的重视。本文将对当今先进的病毒/反病毒技术做全面而细致的介绍,重点当然放在了反病毒上,特别是虚拟机和实时监控技术。
在论文中我将首先介绍几种当今较为流行的病毒技术,包括获取系统核心态特权级,驻留,截获系统操作,变形和加密等。然后我将分五节详细讨论虚拟机技术:第一节简单介绍一下虚拟机的概论;第二节介绍加密变形病毒,我会分析两个著名变形病毒的解密子;第三节是虚拟机实现技术详解,其中会对两种不同方案进行比较,同时将剖析一个查毒用虚拟机的总体控制结构;第四节主要是对特定指令处理函数的分析;最后在第五节中我列出了一些反虚拟执行技术做为今后改进的参照。论文的第三章主要介绍实时监控技术,由于win9x和winnt/2000系统机制和驱动模型不同,所以我将会分成两个操作系统进行讨论。其中涉及的技术很广泛:包括驱动编程技术,文件钩挂,特权级间通信等等。
总之,本论文介绍的技术涉及操作系统底层机制,难度较大;本论文提供的代码,包括一个虚拟机C语言源代码和两个病毒实时监控驱动程序反汇编代码,具有一定的研究和实用价值。
关键字:病毒,虚拟机,实时监控
目 录
1.绪 论………………………………………………………….1
1. 1课题背景………………………………………………………………1
1.2当今病毒技术的发展状况……………………………………………2
1.2.1系统核心态病毒……………………………………………………2
1.2.2驻留病毒……………………………………………………………4
1.2.3截获系统操作………………………………………………………5
1.2.4加密变形病毒………………………………………………………7
1.2.5反跟踪/反虚拟执行病毒………………………………………….7
1.2.6直接API调用………………………………………………………7
1.2.7病毒隐藏…………………………………………………………..9
1.2.8病毒特殊感染法…………………………………………………..9
2.虚拟机查毒………………………………………………….11
2.1虚拟机概论…………………………………………………………. 11
2. 2加密变形病毒……………………………………………………….12
2.3虚拟机实现技术详解……………………………………………….15
2.4虚拟机代码剖析……………………………………………………..21
2.4.1不依赖标志寄存器指令模拟函数的分析……………………….21
2.4.2依赖标志寄存器指令模拟函数的分析………………………….22
2.5反虚拟机技术…………………………………………………………23
3.病毒实时监控………………………………………………25
3.1实时监控概论……………………………………………………….25
3.2病毒实时监控实现技术概论……………………………………….25
3.3WIN9X下的病毒实时监控…………………………………………..27
3.3.1实现技术详解………………………………………………….27
3.3.2程序结构与流程……………………………………………….30
3.3.3HOOKSYS.VXD逆向工程代码剖析……………………………..32
3.3.3.1钩子函数入口代码…………………………………………….33
3.3.3.2取得当前进程名称代码……………………………………….34
3.3.3.3通信部分代码………………………………………………….35
3.4WINNT/2000下的病毒实时监控…………………………………….36
3.4.1实现技术详解………………………………………………….36
3.4.2程序结构与流程……………………………………………….42
3.4.3HOOKSYS.SYS逆向工程代码剖析……………………………..44
3.4.3.1取得当前进程名称代码……………………………………….44
3.4.3.2启动钩子函数工作代码……………………………………….45
3.4.3.3映射系统内存至用户空间代码……………………………….45
结论……………………………………………………………..47
致谢……………………………………………………………..48
主要参考文献…………………………………………………..49
主要参考文献
【1】David A. Solomon, Mark Russinovich 《Inside Microsoft Windows 2000》
September 2000
【2】David A. Solomon 《Inside Windows NT》 May 1998
【3】Prasad Dabak,Sandeep Phadke,Milind Borate 《Undocumented Windows NT》
October 1999
【4】Matt Pietrek 《Windows 95 System Programming Secrets》 March 1996
【5】Walter Oney 《System Programming for Windows 95》 March 1996
