Windows環(huán)境惡意代碼檢測技術(shù)研究.pdf

1、隨著信息技術(shù)，特別是互聯(lián)網(wǎng)的高速發(fā)展，網(wǎng)絡(luò)安全問題正受到人們越來越多關(guān)注。對網(wǎng)絡(luò)安全的諸多威脅中，惡意代碼無疑是危害最大的，這也成為網(wǎng)絡(luò)安全領(lǐng)域研究的焦點。本文關(guān)注于Windows平臺的惡意代碼檢測技術(shù)。 現(xiàn)有的商業(yè)惡意代碼檢測系統(tǒng)使用的檢測技術(shù)主要是特征碼掃描、完整性檢測和虛擬機檢測。本文分析了上述三種檢測技術(shù)的原理以及各自的優(yōu)缺點：特征碼掃描檢測速度快、誤報率低，但需要和龐大的特征庫配合，無法檢測變形的惡意代碼；完整性檢測能

2、有效檢測到惡意代碼對文件的修改，但完整性檢測假設(shè)剛裝入系統(tǒng)中的文件是沒有感染惡意代碼的，因此完整性檢測無法發(fā)現(xiàn)裝入系統(tǒng)前已感染到文件上的惡意代碼；虛擬機檢測可以有效對付加密變形的惡意代碼，但惡意代碼仍然有多種方法可以有效繞過其檢測，如使用特殊指令，使用結(jié)構(gòu)化異常處理等。 隨著新的Rootkit技術(shù)在惡意代碼中的廣泛應用，現(xiàn)有的惡意代碼檢測技術(shù)遇到了前所未有的挑戰(zhàn)。Rootkit技術(shù)隱藏現(xiàn)有的惡意代碼檢測系統(tǒng)的檢測目標，包括進程、

3、文件、TCP端口、注冊表等。試驗表明，現(xiàn)有的商業(yè)惡意代碼檢測系統(tǒng)無法有效檢測采用Rootkit技術(shù)隱藏了的惡意代碼。本文分析了Rootkit技術(shù)的實現(xiàn)原理，包括對進程、TCP端口、注冊表和文件的隱藏技術(shù)。 通過對惡意代碼隱藏技術(shù)的分析，本文提出了對隱藏惡意代碼的檢測技術(shù)，基于差異分析的隱藏行為檢測技術(shù)，該技術(shù)將可信任的系統(tǒng)信息與不可信任的系統(tǒng)信息進行比較，從而獲得被隱藏的信息。針對具體的進程、TCP端口、注冊表和文件信息，本文提