电气毕业论文11篇：污点标记技术在恶意代码分析中的应用 .docVIP

电气毕业　11篇 内容提要： ? 污点标记技术在恶意代码分析中的应用 ? 数字技术在工业电气自动化中的应用 ? 基于LPC的藏语语音基音周期的检测分析 ? 10kV线路继电保护分析 ? 电子稳定系统 (ESC)在商用车上的应用 ? 基于MSP430单片机的窄带无线数据传输模块的设计 ? 　MOCVD自动化云端系统开发的探讨 ? 电梯制动器的结构型式及检验检测探究 ? 计算数据中心的动态数据聚集算法研究 ? 食品机械应用智能控制技术的现状及发展趋势研究 ? 浅析万达广场景观照明的设计理念——以万达广场的动线设计为切入 全文共40150 字 污点标记技术在恶意代码分析中的应用 【摘 要】利用虚拟机技术对恶意代码进行动态分析的方法成为目前　领域研究的重点，国内外相关的研究大部分集中于理论方面，而相关的应用较少。提出以基于全系统模拟器QEMU作为监控平台，通过编写远程控制模块，对目标程序进行动态的实时分析，提取出目标程序的API调用序列以及对应的参数信息，并利用污点标记技术对产生的数据进行关联，有效地提取出目标代码的行为特征，给判断未知程序是否为恶意代码提供了依据。实验表明，相比同类工具，自动分析平台具有更好的分析结果。 关键词：恶意代码；行为监控；QEMU；动态污点标记 收稿日期：2015?02?19 　项目：陕西工商职业学院课题（13G?08?B22）；陕西省教育科学“十二五”规划课题（SGH140851） 0 引言 Windows 操作系统上运行的用户态程序，包括病毒、木马等常见恶意代码，一般都通过调用Win32环境提供的Win32 API接口来完成各项操作。借助逆向工程和调试技术，反病毒工程师可以分析可疑程序API及参数的调用情况，从而判断上报的可疑是否为恶意代码。如何将这种人工分析的方法自动化，并最终实现自动化检测恶意代码，已成为反恶意代码研究领域的一个热点。 伴随计算机系统发展而发展的虚拟机技术，则提供了很好的隔离机制。在虚拟机制下，一个系统可以被模拟出来，被模拟出来的系统可以完全不了解另外的系统。样本在虚拟机中运行对客户操作系统造成的损害，完全可以通过快照，重新还原，重启虚拟机等方式，对宿主操作系统不造成任何实质上的危险，所以基于虚拟机的恶意代码自动分析平台成为解决上述难题的关键。 德国曼海姆大学可靠性分布式系统实验室的CWSandbox，在虚拟机软件VMware 中分析样本[1]，采用API Hook 技术跟踪程序行为，自动化产生分析报告。 Norman Sandbox是Norman公司推出的在线病毒分析服务[2]，通过重新实现内核Windows系统，仿真了整个计算机和一个连接的网络环境，仿真环境下不需要恶意进程的干预、感染、更改其他运行的进程，因为没有其他的进程运行在仿真环境下，很多相互干涉的重要信息也会丢失。Chas Tomlin的Litterbox与之前的分析系统不同[3]，这种分析方法是让恶意软件执行在一个真实的Window系统上，而不是模拟或仿真的系统，每过60 s系统被强制从一个Linux镜像文件中重启，重启后，Litterbox加载Windows分区并提取出Windows注册表和文件列表，这样分区就回到了干净的状态。在恶意代码执行期间，Windows主机通过虚拟网络连接到一个正在运行的IRC服务器，它能够应答所有到IRC的连接请求，这个工具能捕捉到所有要到其他网络的数据包。Litterbox 只是做了一个被感染的系统的镜像，它并不能监视像新进程创建这样的动态行为。 针对以上工具存在的问题，本文提出利用开源模拟器QEMU[4]做监控平台，并对产生的分析结果，采用污点标记技术进行关联，能够更好地提供恶意代码的行为特征。 1 系统框架 整个体系架构的最终目标是通过用户在客户机提交Windows PE 文件样本，网络传输到服务器端上已安装的定制虚拟环境中，获取到目标文件的各种信息，然后通过行为抽象，对API数据报告进行处理，从而构建样本的行为特征，通过对比数据库中的行为库，产生分类报告，最后通过网络反馈给客户机，完成一次未知程序的分析过程。 本文主要工作集中在数据的获取部分，在系统中作为前端平台，图1是前端平台的框架图。 由图1 可以看出，系统主要由四部分构成：客户端（Client），服务器端（Sever），中间件（Coodinator），模拟器（WinQEMU）。这四部分构成了前端数据获取平台的主要功能模块。 首先启动客户操作系统（Guest OS），运行其中的服务器端程序；然后在宿主操作系统（Host OS）上启动客户端程序，选择目标程序，上传到客户操作系统中，并挂起；在WinQEMU里设置相关数据，若完成，则运行目标程序，开始动态监控，对获取到的数据，通过中间件传送到宿主操作中，从