基于文件解析的文件感染方法研究.pdf

1、由于計算機(jī)網(wǎng)絡(luò)的脆弱性和互聯(lián)網(wǎng)的開放性，計算機(jī)病毒已成為當(dāng)前計算機(jī)和網(wǎng)絡(luò)安全的最大隱患，而感染系統(tǒng)文件又是病毒侵入系統(tǒng)的主要方式。研究新的文件感染技術(shù)一方面可以了解文件感染型病毒的工作原理，催生新的反病毒技術(shù)，另一方面還可以完善監(jiān)控軟件的監(jiān)控功能，加固主機(jī)的防御，具有很高的實用價值。
　　 圍繞文件感染技術(shù)的應(yīng)用環(huán)境，分析了NTFS（New Technology File System）文件系統(tǒng)和FAT32（File Alloc

2、ation Table）文件系統(tǒng)，分析了幾種常見的PE（PortableExecutable）文件感染方法，闡述了這些方法存在的不足和現(xiàn)有文件保護(hù)技術(shù)存在的缺陷，在此基礎(chǔ)上提出了一種能增強(qiáng)文件感染有效性的文件解析過程。
　　 基于文件解析的過程，設(shè)計了一個文件感染系統(tǒng)，給出了系統(tǒng)的總體架構(gòu)和功能模塊的劃分。系統(tǒng)由初始化、NTFS解析、FAT32解析和文件感染四個功能模塊組成。初始化模塊主要用于系統(tǒng)運行環(huán)境的建立以及目標(biāo)文件基本信

3、息的獲取；NTFS解析模塊主要用于NTFS分區(qū)中的目標(biāo)文件數(shù)據(jù)信息的獲取以及文件數(shù)據(jù)的寫回；FAT32解析模塊主要用于FAT32分區(qū)中的目標(biāo)文件數(shù)據(jù)信息的獲取以及文件數(shù)據(jù)的寫回；文件感染模塊主要用于內(nèi)存中PE文件的改寫以及程序控制權(quán)的獲取。
　　 為了驗證所給文件感染系統(tǒng)的感染效果，選擇了三個文件保護(hù)軟件：微點主動防御、卡巴斯基和360安全衛(wèi)士，并建立了實驗環(huán)境，對所給文件感染系統(tǒng)和常用文件感染方法進(jìn)行了實驗比較。