基于Windows平臺(tái)的脫殼技術(shù)研究與實(shí)現(xiàn).pdf

1、伴隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，開(kāi)發(fā)人員對(duì)軟件的保護(hù)意識(shí)也逐漸地增強(qiáng)，為了防止軟件中的關(guān)鍵算法被逆向分析，在發(fā)布一款軟件之前通常都會(huì)對(duì)其進(jìn)行加殼處理。同時(shí)，惡意代碼為了逃避傳統(tǒng)的基于特征碼掃描的殺毒軟件的查殺，也大量的使用加殼技術(shù)。一種已知類(lèi)型的惡意代碼可以通過(guò)加殼使殺毒軟件為其產(chǎn)生大量不同的特征碼序列，使殺毒軟件的特征庫(kù)變得越來(lái)越龐大，降低了殺毒軟件特征碼的查找與匹配速度。在對(duì)未知惡意代碼的特征碼進(jìn)行提取過(guò)程中，也會(huì)因?yàn)檐浖さ拇嬖诙固?/p>

2、取到的特征序列不準(zhǔn)確。因此，在評(píng)價(jià)一款殺毒軟件的優(yōu)劣時(shí)，是否具有較強(qiáng)的脫殼能力已經(jīng)成為一項(xiàng)非常重要的指標(biāo)。
　　首先，本文對(duì)現(xiàn)有各種流行的加殼與脫殼技術(shù)進(jìn)行研究，分析它們的實(shí)現(xiàn)原理，分析被加殼程序在靜態(tài)以及運(yùn)行時(shí)的特征，歸納被加殼程序的共同特征。其次，在對(duì)現(xiàn)有技術(shù)的研究基礎(chǔ)之上，論文設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)運(yùn)行在Windows平臺(tái)上的脫殼系統(tǒng)。該脫殼系統(tǒng)包含了如何實(shí)現(xiàn)對(duì)被加殼程序的脫殼、被加殼原程序的OEP地址的查找、原程序IAT的定位以

3、及修復(fù)以及原程序PE映像的重構(gòu)等內(nèi)容。為了達(dá)到使宿主系統(tǒng)免受加殼惡意程序的破壞，以及被加殼程序脫殼的效率這兩個(gè)目標(biāo)，論文設(shè)計(jì)了一種構(gòu)建于宿主系統(tǒng)之上的受控執(zhí)行環(huán)境。加殼惡意代碼在其上受控運(yùn)行時(shí)，絕大部分代碼都是直接在宿主系統(tǒng)上運(yùn)行，這保證了脫殼的效率，同時(shí)，對(duì)于惡意代碼產(chǎn)生的具有潛在威脅的系統(tǒng)調(diào)用，受控執(zhí)行環(huán)境進(jìn)行阻斷，這保證了宿主系統(tǒng)的安全。
　　本文實(shí)現(xiàn)的脫殼系統(tǒng)預(yù)期能夠處理大多數(shù)的已知?dú)ぃ纾篠implePack,fsg,