面向Rootkit行为的恶意软件检测分析技术研究
发布时间:2021-08-05 02:32
在信息安全领域,Rootkit技术扮演着相当重要的角色。在常见的木马病毒等手段对目标机器的攻击中,常常采用Rootkit技术隐藏自身的文件、进程以及网络连接等信息来达到长期潜伏于目标系统中的目的,以此来对抗目标主机入侵检测系统的检测,这将会对计算机用户产生巨大的威胁。如果想更好的防范此类针对目标主机的入侵行为,则有必要对Rootkit恶意行为的检测技术展开深入的研究。本文主要致力于Rootkit恶意行为的分析与检测技术的研究。传统的静态分析技术对恶意样本进行反汇编,从而获取样本的静态特征。但是对于使用混淆技术的恶意样本,传统的静态分析方法很难达到预期,导致获取恶意样本的静态特征成本过高。因此本文采用将恶意代码映射成灰度图像的方式,通过识别图像纹理从而来克服上面的问题。但由于传统的图像纹理分析方法对Rootkit恶意代码生成的灰度图像中纹理特征提取效果不好,因此本文提出利用深度学习对Rootkit映射生成的灰度图片进行纹理分析。深度学习在图像识别方面的性能优于许多其他分类器。本文对捕获的五类Rootkit程序和自体程序进行分类,实验结果取得了 97.2%的检测率、9.4%的误报率和92....
【文章来源】:沈阳理工大学辽宁省
【文章页数】:69 页
【学位级别】:硕士
【部分图文】:
图2.3处理器借助IDT调用中断例程的流程??Fig.2.3?Processors?process?of?calling?interrupt?routines?with?IDT??
在IA-32体系里,处理器在中断出现的时候所需要处理的中断例程是位于中段??描述符表IDT里面[9]。IDT的作用就是把中断或者异常跟要处理这个中断或者异常??的服务例程联系起来。处理器调用中断的大致流程如图2.3所示。??IDT?丨;I标代码段????偏移?/TN??-??屮泡if】/陷阱?>?中断例柷???>???—段选择器???GDTADT?址?? ̄ ̄??段描还符 ̄???图2.3处理器借助IDT调用中断例程的流程??Fig.2.3?Processors?process?of?calling?interrupt?routines?with?IDT??所以,对上述的内容进行深刻地理解可以得出,IDT?Hook的实质就是把IDT??表中的描述符里的所包含的偏移地址的指向变更为预先设定好的Rootkit例程。??(2)映像修改??映像修改是指对于目标程序文件本身的二进制代码进行修改。常见的实现方??法有两类:Detours和内联函数钩子。??Detuors方式实际上就是钩挂整个函数。正常调用的流程图如图2.4所示。?????V??Source?Target??Function?Function??图2.?4正常调用流程??Fig.2.4?Normal?call?flow??-13-??
2:?In?=?os.path.getsize(txx.byte,)#get?length??3:?width?=?int(ln**0.5)??4:?rcm?=?ln%width??5:?a?=?array.arrayCBO^intS?array??6:?a.fromfile(f,ln-rem)??7:?f.close()??8:?g?=?np.reshape(a,(len(a)/width,width))??9:?g?=?np.uint8(g)??10:?misc.imsave(’xx.png’,g)??3.2恶意代码的图像纹理分析架构??3.2.1恶意代码的可视化架构部署??IDA?Pro[11],是目前性能极佳的一个静态反编译软件,特有的IDA视图和交??叉引用,可以方便理解程序逻辑和快速定位代码片断,以方便修改,成为许多和??ShellCode安全分析人士不可或缺的利器,更成为Oday世界的成员的最爱IDAPro??是一款交互式的,可编程的,可扩展的,多处理器的,交叉Windows或Linux?WinCE??MacOS平台主机来分析程序。??
本文编号:3322883
【文章来源】:沈阳理工大学辽宁省
【文章页数】:69 页
【学位级别】:硕士
【部分图文】:
图2.3处理器借助IDT调用中断例程的流程??Fig.2.3?Processors?process?of?calling?interrupt?routines?with?IDT??
在IA-32体系里,处理器在中断出现的时候所需要处理的中断例程是位于中段??描述符表IDT里面[9]。IDT的作用就是把中断或者异常跟要处理这个中断或者异常??的服务例程联系起来。处理器调用中断的大致流程如图2.3所示。??IDT?丨;I标代码段????偏移?/TN??-??屮泡if】/陷阱?>?中断例柷???>???—段选择器???GDTADT?址?? ̄ ̄??段描还符 ̄???图2.3处理器借助IDT调用中断例程的流程??Fig.2.3?Processors?process?of?calling?interrupt?routines?with?IDT??所以,对上述的内容进行深刻地理解可以得出,IDT?Hook的实质就是把IDT??表中的描述符里的所包含的偏移地址的指向变更为预先设定好的Rootkit例程。??(2)映像修改??映像修改是指对于目标程序文件本身的二进制代码进行修改。常见的实现方??法有两类:Detours和内联函数钩子。??Detuors方式实际上就是钩挂整个函数。正常调用的流程图如图2.4所示。?????V??Source?Target??Function?Function??图2.?4正常调用流程??Fig.2.4?Normal?call?flow??-13-??
2:?In?=?os.path.getsize(txx.byte,)#get?length??3:?width?=?int(ln**0.5)??4:?rcm?=?ln%width??5:?a?=?array.arrayCBO^intS?array??6:?a.fromfile(f,ln-rem)??7:?f.close()??8:?g?=?np.reshape(a,(len(a)/width,width))??9:?g?=?np.uint8(g)??10:?misc.imsave(’xx.png’,g)??3.2恶意代码的图像纹理分析架构??3.2.1恶意代码的可视化架构部署??IDA?Pro[11],是目前性能极佳的一个静态反编译软件,特有的IDA视图和交??叉引用,可以方便理解程序逻辑和快速定位代码片断,以方便修改,成为许多和??ShellCode安全分析人士不可或缺的利器,更成为Oday世界的成员的最爱IDAPro??是一款交互式的,可编程的,可扩展的,多处理器的,交叉Windows或Linux?WinCE??MacOS平台主机来分析程序。??
本文编号:3322883
本文链接:https://www.wllwen.com/kejilunwen/ruanjiangongchenglunwen/3322883.html
