面向可移动存储设备的特定恶意代码追踪技术研究

发布时间：2021-11-28 18:43

　　通过对互联网的监测发现,U盘已成为病毒和木马程序传播的主要途径之一。在已经发现的具有重大影响且造成严重损失的恶意代码中,有很大一部分恶意代码通过可移动存储设备传播或者窃密。现阶段在恶意代码检测方面存在的问题是：反病毒软件主要针对大众用户,对利用可移动存储设备传播或者窃密的恶意代码的检测主要是基于对已知恶意代码的特征检测,对利用可移动存储设备传播或者窃密的特定未知恶意代码检测能力较弱。在恶意代码追踪溯源方面存在的问题是：已有的恶意代码追踪技术主要是基于对网络数据包的分析,有很大的局限性。本文研究了利用可移动存储设备传播或者窃密的特定恶意代码的攻击技术原理和相应的检测方法。通过对追踪溯源案例的分析,提出一个将自动提取具有追踪溯源价值的特征信息与追踪数据库关联查询的追踪溯源方法。本文通过针对“震网”病毒、“火焰”病毒和“U盘杀手”等一系列恶意代码与卡巴斯基对Winnti的追踪溯源案例进行深入分析,提出了通过将内核监控、PE文件深入分析与追踪数据库相互结合,形成一个针对利用可移动存储设备传播或者窃密的特定恶意代码检测、分析和追踪于一体的完整防御体系平台。最后通过实验验证该系统能够检测到利用可移... 

【文章来源】：东北大学辽宁省 211工程院校 985工程院校 教育部直属院校

【文章页数】：77 页

【学位级别】：硕士

【文章目录】：
摘要
Abstract
第1章 引言
    1.1 可移动存储设备安全的研究背景与意义
    1.2 论文工作
    1.3 本文组织结构
第2章 恶意代码检测技术综述
    2.1 恶意代码分析技术
        2.1.1 静态分析技术
        2.1.2 动态分析技术
    2.2 恶意代码检测技术
        2.2.1 特征码检测
        2.2.2 启发式检测
        2.2.3 完整性检测
        2.2.4 行为检测技术
        2.2.5 虚拟机检测
        2.2.6 云检测
    2.3 本章小结
第3章 PE结构分析与文件过滤技术研究
    3.1 PE结构分析技术研究
        3.1.1 DOS部首特征分析
        3.1.2 PE文件头分析
        3.1.3 块表分析
        3.1.4 导入表分析
        3.1.5 导出表分析
        3.1.6 资源表分析
        3.1.7 特征提取
    3.2 文件过滤技术研究
        3.2.1 WindowsNT5.0系统结构
        3.2.2 I/O请求过程
        3.2.3 术语
        3.2.4 读写操作过滤技术研究
        3.2.5 其他操作的过滤技术研究
    3.3 本章小结
第4章 特定恶意代码的追踪技术研究
    4.1 特定恶意代码攻击技术分析
        4.1.1 特定恶意代码介绍
        4.1.2 特定恶意代码利用漏洞技术
    4.2 PE分析检测技术
        4.2.1 系统模型
        4.2.2 特征选取
        4.2.3 分类学习算法
    4.3 进程监控技术
        4.3.1 进程隐藏原理
        4.3.2 线程调度机制
        4.3.3 基于线程调度的进程监控机制
    4.4 文件监控技术
        4.4.1 系统概述
        4.4.2 系统原理
    4.5 追踪数据库
        4.5.1 概述
        4.5.2 可行性分析
        4.5.3 数据收集
    4.6 系统原型架构
    4.7 本章小结
第5章 实验结果和分析
    5.1 实验环境
    5.2 实验过程
        5.2.1 进程监控
        5.2.2 文件监控
        5.2.3 PE分析
    5.3 实验结果分析
第6章 总结与展望
    6.1 总结
    6.2 不足与展望
参考文献
致谢
攻读硕士期间参加的项目



本文编号：3524948