基于動(dòng)機(jī)還原的惡意代碼檢測(cè)研究與實(shí)現(xiàn).pdf

1、惡意代碼對(duì)計(jì)算機(jī)安全造成了嚴(yán)重威脅，隨著計(jì)算機(jī)技術(shù)飛速發(fā)展，惡意代碼造成的危害越來(lái)越大。傳統(tǒng)的惡意代碼靜態(tài)分析方法不僅不能有效的檢測(cè)出經(jīng)過(guò)加殼、加密、變形的惡意代碼，還不能檢測(cè)未曾出現(xiàn)過(guò)的惡意代碼。而基于行為的惡意代碼動(dòng)態(tài)檢測(cè)方法由于建立的行為模型只反映了代碼部分行為特征，存在誤報(bào)率高的缺點(diǎn)。
　　基于動(dòng)機(jī)還原的惡意代碼檢測(cè)是一種新的惡意代碼動(dòng)態(tài)檢測(cè)方式。該方法以代碼編寫(xiě)者編寫(xiě)代碼的目的為出發(fā)點(diǎn)，將該目的稱為動(dòng)機(jī)，將動(dòng)機(jī)和代碼的檢

2、測(cè)結(jié)合起來(lái)，還原出的代碼編寫(xiě)者的編寫(xiě)動(dòng)機(jī)。由于惡意代碼一般是被用來(lái)做壞事的，故根據(jù)還原出的動(dòng)機(jī)就有了判斷代碼是否是惡意代碼的依據(jù)。該檢測(cè)方式的流程是通過(guò)進(jìn)程的操作，還原出代碼具有的動(dòng)機(jī)，進(jìn)而判斷代碼的惡意性。正如完成一個(gè)目標(biāo)是通過(guò)將目標(biāo)劃分為幾個(gè)小一點(diǎn)的目標(biāo)然后逐步完成一樣，代碼的動(dòng)機(jī)也可以劃分為功能更簡(jiǎn)單的子動(dòng)機(jī)，逐步劃分下去直到能和進(jìn)程操作掛鉤為止。
　　基于動(dòng)機(jī)還原的惡意代碼檢測(cè)首先定義并刻畫(huà)了代碼的操作和動(dòng)機(jī)，描述了代碼的