基于压缩加密及多态变形的代码迷惑方法研究

代理获取

页面导航

目录
摘要
著录项
相似文献
相关主题

摘要

网络环境随着技术发展变得越来越复杂，各类恶意代码层出不穷，对抗恶意代码已成为计算机安全研究的主要内容之一。同时，在网络取证及信息对抗中，恶意代码作为一种辅助手段，正在发挥积极作用。因此，研究恶意代码伪装自身所使用的代码迷惑技术，具有重要的理论意义和实用价值。
　　结合代码迷惑技术的发展现状，阐述了控制流迷惑、重构可移植执行体文件、代码反特征检测等与代码迷惑相关的重要概念，分析了两种典型的面向可执行文件的代码迷惑方法，说明了这些方法依据的理论及迷惑机理，指出了它们存在的不足。
　　在此基础上，探讨性地提出了一种基于压缩加密及多态变形的CEP（Compression Encryption and Polymorphism）代码迷惑方法，给出了其中涉及的三个关键技术：针对原始文件代码段使用压缩加密进行改造；使用基于Hash值动态查找的方法加解密原始文件的导入表；利用多态变形技术改造加载部分最终实现整个文件的改造。其中压缩采用的是一种基于LZMA压缩引擎的压缩方法，并使用与随机值进行异或的方法保护数据，在保证压缩性能的同时，兼顾了保密性。导入表处理，使用移位异或Hash值加密导入函数名，于解密时动态查找匹配Hash 值相等的函数，以此迷惑检测软件。分析了多态引擎的应用场合，解析了BPE32多态变形引擎的工作模式，在CEP代码迷惑方法中采用了该引擎实现多态变形。
　　为了验证CEP代码迷惑方法的有效性，基于该方法的处理流程，设计并实现了一个代码迷惑工具，给出了该工具的基本架构、功能描述、模块的划分以及多态变形的处理方式，其中重点说明了原始文件压缩模块、加载模块的具体实现。
　　搭建了实验环境，进行了相关测试，测试结果表明，CEP 代码迷惑方法对不同Windows 平台具有普适性，经该方法处理后的恶意代码能够躲避主流检测软件的查杀，具有一定的实用价值。

著录项

作者
李帅;
展开▼
作者单位

华中科技大学;

展开▼
授予单位华中科技大学;
学科计算机系统结构
授予学位硕士
导师姓名余胜生;
年度 2011
页码
总页数
原文格式 PDF
正文语种中文
中图分类 TP393.08;
关键词
压缩加密; 多态变形; 代码迷惑; 计算机安全; 测试实验;

相似文献

中文文献
外文文献
专利

1. 基于多态变形的恶意代码技术与检测方法 [J] . 李榕 . 中小企业管理与科技 . 2009,第030期
2. 胶鞋鞋底静态压缩变形性能和动态压缩变形性能测试方法研究 [J] . 陈建锋 . 橡胶科技 . 2014,第007期
3. 胶鞋鞋底静态压缩变形性能和动态压缩变形性能测试方法研究 [J] . 陈建锋 . 橡胶科技 . 2014,第007期
4. 基于Qt的Python代码迷惑器的设计与实现 [J] . 王一宾 ,裴根生 . 安庆师范学院学报（自然科学版） . 2017,第003期
5. 基于Qt的Python代码迷惑器的设计与实现 [J] . 王一宾12 ,裴根生1 . 安庆师范大学学报：自然科学版 . 2017,第003期
6. 基于源代码植入的针对函数指针数组的反代码迷惑 [C] . . 全国第19届计算机技术与应用学术会议(CACIS·2008) . 2008
7. 基于二进制多态变形的恶意代码反检测技术研究 [A] . 任云韬 . 2006

基于压缩加密及多态变形的代码迷惑方法研究

目录

摘要

著录项

相似文献

相关主题

期刊订阅