基于Windows平臺的脫殼技術(shù)研究與實現(xiàn).pdf

1、伴隨著計算機(jī)技術(shù)的不斷發(fā)展，開發(fā)人員對軟件的保護(hù)意識也逐漸地增強(qiáng)，為了防止軟件中的關(guān)鍵算法被逆向分析，在發(fā)布一款軟件之前通常都會對其進(jìn)行加殼處理。同時，惡意代碼為了逃避傳統(tǒng)的基于特征碼掃描的殺毒軟件的查殺，也大量的使用加殼技術(shù)。一種已知類型的惡意代碼可以通過加殼使殺毒軟件為其產(chǎn)生大量不同的特征碼序列，使殺毒軟件的特征庫變得越來越龐大，降低了殺毒軟件特征碼的查找與匹配速度。在對未知惡意代碼的特征碼進(jìn)行提取過程中，也會因為軟件殼的存在而使提

2、取到的特征序列不準(zhǔn)確。因此，在評價一款殺毒軟件的優(yōu)劣時，是否具有較強(qiáng)的脫殼能力已經(jīng)成為一項非常重要的指標(biāo)。
　　首先，本文對現(xiàn)有各種流行的加殼與脫殼技術(shù)進(jìn)行研究，分析它們的實現(xiàn)原理，分析被加殼程序在靜態(tài)以及運(yùn)行時的特征，歸納被加殼程序的共同特征。其次，在對現(xiàn)有技術(shù)的研究基礎(chǔ)之上，論文設(shè)計并實現(xiàn)了一個運(yùn)行在Windows平臺上的脫殼系統(tǒng)。該脫殼系統(tǒng)包含了如何實現(xiàn)對被加殼程序的脫殼、被加殼原程序的OEP地址的查找、原程序IAT的定位以

3、及修復(fù)以及原程序PE映像的重構(gòu)等內(nèi)容。為了達(dá)到使宿主系統(tǒng)免受加殼惡意程序的破壞，以及被加殼程序脫殼的效率這兩個目標(biāo)，論文設(shè)計了一種構(gòu)建于宿主系統(tǒng)之上的受控執(zhí)行環(huán)境。加殼惡意代碼在其上受控運(yùn)行時，絕大部分代碼都是直接在宿主系統(tǒng)上運(yùn)行，這保證了脫殼的效率，同時，對于惡意代碼產(chǎn)生的具有潛在威脅的系統(tǒng)調(diào)用，受控執(zhí)行環(huán)境進(jìn)行阻斷，這保證了宿主系統(tǒng)的安全。
　　本文實現(xiàn)的脫殼系統(tǒng)預(yù)期能夠處理大多數(shù)的已知?dú)?，例如：SimplePack,fsg,