反病毒引擎设计

•      本文将对当今先进的病毒/反病毒技术做全面而细致的介绍，重点当然放在了反病毒上，特别是虚拟机和实时监控技术。文中首先介绍几种当今较为流行的病毒技术，包括获取系统核心态特权级，驻留，截获系统操作，变形和加密等。然后分五节详细讨论虚拟机技术：第一节简单介绍一下虚拟机的概论；第二节介绍加密变形病毒，作者会分析两个著名变形病毒的解密子；第三节是虚拟机实现技术详解，其中会对两种不同方案进行比较，同时将剖析一个查毒用虚拟机的总体控制结构；第四节主要是对特定指令处理函数的分析；最后在第五节中列出了一些反虚拟执行技术做为今后改进的参照。论文的第三章主要介绍实时监控技术，由于win9x和winnt/2000系统机制和驱动模型不同，所以会分成两个操作系统进行讨论。其中涉及的技术很广泛：包括驱动编程技术，文件钩挂，特权级间通信等等。本文介绍的技术涉及操作系统底层机制，难度较大。所提供的代码，包括一个虚拟机C语言源代码和两个病毒实时监控驱动程序反汇编代码，具有一定的研究和实用价值。
  关键字：病毒，虚拟机，实时监控
  文档内容目录
  1．绪 论
  
  1. 1课题背景
  
  1.2当今病毒技术的发展状况
  
  1.2.1系统核心态病毒
  
  1.2.2驻留病毒
  
  1.2.3截获系统操作
  
  1.2.4加密变形病毒
  
  1.2.5反跟踪/反虚拟执行病毒
  
  1.2.6直接API调用
  
  1.2.7病毒隐藏
  
  1.2.8病毒特殊感染法
  
  2．虚拟机查毒
  
  2.1虚拟机概论
  
  2. 2加密变形病毒
  
  2.3虚拟机实现技术详解
  
  2.4虚拟机代码剖析
  
  2.4.1不依赖标志寄存器指令模拟函数的分析
  
  2.4.2依赖标志寄存器指令模拟函数的分析
  
  2.5反虚拟机技术
  
  3．病毒实时监控
  
  3.1实时监控概论
  
  3.2病毒实时监控实现技术概论
  
  3.3WIN9X下的病毒实时监控
  
  3.3.1实现技术详解
  
  3.3.2程序结构与流程
  
  3.3.3HOOKSYS.VXD逆向工程代码剖析
  
  3.4WINNT/2000下的病毒实时监控
  
  3.4.1实现技术详解
  
  3.4.2程序结构与流程
  
  3.4.3HOOKSYS.SYS逆向工程代码剖析
  
  结论
  
  致谢
  
  主要参考文献
  
  
  1．绪 论
  本论文研究的主要内容正如其题目所示是设计并编写一个先进的反病毒引擎。首先需要对这“先进”二字做一个解释，何为“先进”？众所周知，传统的反病毒软件使用的是基于特征码的静态扫描技术，即在文件中寻找特定十六进制串，如果找到，就可判定文件感染了某种病毒。但这种方法在当今病毒技术迅猛发展的形势下已经起不到很好的作用了。原因我会在以下的章节中具体描述。因此本论文将不对杀毒引擎中的特征码扫描和病毒代码清除模块做分析。我们要讨论的是为应付先进的病毒技术而必需的两大反病毒技术--虚拟机和实时监控技术。具体什么是虚拟机，什么是实时监控，我会在相应的章节中做详尽的介绍。这里我要说明的一点是，这两项技术虽然在前人的工作中已有所体现（被一些国内外先进的反病毒厂家所使用），但出于商业目的，这些技术并没有被完全公开，所以你无论从书本文献还是网路上的资料中都无法找到关于这些技术的内幕。而我会在相关的章节中剖析大量的程序源码（主要是2.4节中的一个完整的虚拟机源码）或是逆向工程代码（3.3.3节和3.4.3节中三个我逆向工程的某著名反病毒软件的实时监控驱动程序及客户程序的反汇编代码），并同时公布一些我个人挖掘的操作系统内部未公开的机制和数据结构。另外我在文中会大量地提到或引用一些关于系统底层奥秘的大师级经典图书，这算是给喜爱系统级编程但又苦于找不到合适教材的朋友开了一份书单。下面就开始进入论文的正题。
  
  
• [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 反病毒引擎设计 相关文章：
• ·反病毒引擎设计
• ·候捷谈Java反射机制
• ·反病毒引擎设计全解
• ·正反两极端 细看微软Vista十大得失
• ·ASP.NET默认的上传组件支持进度条反映
• ·常见电子书格式及其反编译思路
• ·开机找不到硬盘，进入BIOS将IDE口设为"AUTO"状态，反复按回车键，过几分钟后，才能找到硬盘并正常使用
• ·反病毒知识：如何让你的移动硬盘在DOS下杀毒
• ·强力反驳：子虚乌有的Windows Vista二十宗罪
• ·什么时候oracle使用绑定变量性能反而更差
• 反病毒引擎设计 相关软件
• ·《反恐精英CS1.6》完整安装版本
• ·反P2P终结者
• ·反恐精英 CS 1.5 机器人补丁
• ·反恐精英CS龙珠中文硬盘版
• ·近距离作战4阿登反击战
• ·《反恐精英CS 1.5》免CD-KEY版
• ·1941反击战(1941 - Counter Attack)
• ·薛刚反唐
• ·反恐精英之起源(CS2.0)
• ·反时间限制器 Anti-Timer V1.0 绿色版

上一篇:冲击波(MSBlast)蠕虫分析报告

下一篇:蜜罐技术:消除防火墙局限和脆弱

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐