基于語義的win32 PE病毒行為檢測方法研究.pdf

1、隨著科學(xué)科技的發(fā)展，尤其是信息化進(jìn)程的不斷加快，計算機(jī)及互聯(lián)網(wǎng)在人們?nèi)粘Ｉ钪邪l(fā)揮的作用越來越大，普及率也越來越高。計算機(jī)在各方面給人們帶來便利、高效率的同時，計算機(jī)及網(wǎng)絡(luò)的安全問題也接踵而至，計算機(jī)病毒每年都會造成巨大的經(jīng)濟(jì)損失。
　　 計算機(jī)病毒的不斷出現(xiàn)也帶動了反病毒技術(shù)的發(fā)展，反病毒的研究主要以如何檢測程序是病毒程序為出發(fā)點，例如常用的基于特征值匹配技術(shù)，通過與病毒庫中的特征值進(jìn)行匹配，來判定程序是不是病毒程序。為了防止

2、自身被檢測出來，計算機(jī)病毒針對特征值匹配的方法采取了變形技術(shù)。本文以病毒使用的變形技術(shù)為研究對象，分析病毒使用的幾種變形技術(shù)，設(shè)計了基于語義的病毒行為檢測方法，以判斷程序隱藏惡意行為的情況。
　　 本文針對Win32 PE病毒，通過反匯編手段，設(shè)計反匯編模塊，獲取程序的匯編代碼，使用設(shè)計的中間表示形式對匯編代碼進(jìn)行轉(zhuǎn)化，并建立設(shè)計程序流程圖用以描述病毒。使用中間語言建立惡意行為模板，設(shè)計行為模板與待檢測程序流程圖進(jìn)行指令匹配的方