基于层次化差异比较法的恶意代码分析技术的研究与实现-计算机应用技术专业论文.docxVIP

南开大学学位论文原创性声明本人郑重声明：所呈交的学位论文，是本人在导师指导下进行研究工作所取 南开大学学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下进行研究工作所取 得的研究成果。除文中已经注明引用的内容外，本学位论文的研究成果不包含任 何他人创作的、已公开发表或者没有公开发表的作品的内容。对本论文所涉及的 研究工作做出贡献的其他个人和集体，均已在文中以明确方式标明。本学位论文 原创性声明的法律责任由本人承担。 学位论文作者签名： 奎嵩 2011年5 月29日 非公开学位论文标注说明 (本页表中填写内容须打印) 根据南开大学有关规定，非公开学位论文须经指导教师同意、作者本人申请 和相关部门批准方能标注。未经批准的均为公开学位论文，公开学位论文本说明 为空白。 论文题目 申请密级 口限制(≤2年) 口秘密(≤lO年) 口机密(≤20年) 保密期限 20 年 月 曰至20 年 月 日 审批表编号 批准日期 20 年 月 日 南开大学学位评定委员会办公室盖章(有效) 注：限制★2年(可少于2年)：秘密．10年(可少于lO年)：机密*20年(可少于20年) 快速发 快速发 展，恶意代码正朝着传播速度越来越快、波及范围越来越广、损失越来越严重 的趋势发展，因此如何遏制恶意代码从而营造安全的计算机网络环境已经成为 一个重要的研究课题。 全面分析并掌握恶意代码的运行机制是遏制恶意代码的前提条件。传统的 恶意代码分析技术分为静态分析和动态分析两种。由于恶意代码编写技术的快 速发展，特别是变形技术和反虚拟机技术的广泛使用，基于代码观察的静态分 析技术和基于虚拟环境的动态分析技术已经难以全面掌握恶意代码的运行机 理。 本文针对传统分析技术的不足，提出了一种基于层次化差异比较法的恶意 代码分析技术。层次化差异比较法的核心思想是：将整个分析过程分为若干层 次，运用不同的检测手段对各个层次的信息进行搜集，发掘各个层次的状态信 息差异，分析差异产生的原因从而掌握恶意代码对系统的篡改、攻击、自我保 护等行为机制。 本文的主要工作和贡献有：第一、分析了恶意代码的通用运行机制，并对 各种恶意代码的恶意行为进行了总结；第二、对恶意代码经常攻击的系统内存、 系统进程、注册表、文件系统等操作系统对象的相关理论知识进行了介绍；第 三、提出了层次化的概念，将分析过程分为恶意代码入侵系统前的检测和入侵 系统后的检测两个层次，再将恶意代码入侵系统后分为用户层检测和内核层检 测两个层次，并给出了系统状态信息的搜集算法；第四、设计并实现了基于层 次化差异比较法的恶意代码分析系统。 关键词：恶意代码分析、层次化、差异比较 AbstractMalware Abstract Malware makes great damage to the computer system,which is spreading faster and faster,the range covered is wider and wider,and the lose is becoming more and more witll the help of Internet especially,therefore,most attention should be paid 011 malware defense to make computer networks much safer． Analysis of operating mechanism is the base of malware defense．Malware analysis can be traditionally classified into static analysis and dynamic analysis． However，it is much difficult for static analysis method to have an overall mastery of the operating mechanism because of polymorphic code．Meanwhile，dynamic method has a bad effect on malware analysis for the technology of anti-virtual machine． Facing the shortcomings of traditional method,this paper presents a malware analysis method based on hierarchical comparison of differences．The core i