資源描述:
《基于Windows平臺的脫殼技術(shù)研究與實(shí)現(xiàn).pdf》由會員上傳分享��,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫。
1�、電子科技大學(xué)UNIVERSITYOFELECTRONICSCIENCEANDTECHNOLOGYOFCHINA碩士學(xué)位論文MASTERDISSERTATION論文題目:基于Windows平臺的脫殼技術(shù)研究與實(shí)現(xiàn)學(xué)科專業(yè):信息安全指導(dǎo)教師:劉丹作者姓名:趙中樹班學(xué)號:200921240202萬方數(shù)據(jù)分類號密級注1UDC學(xué)位論文基于Windows平臺的脫殼技術(shù)研究與實(shí)現(xiàn)(題名和副題名)趙中樹(作者姓名)指導(dǎo)教師姓名劉丹副教授電子科技大學(xué)成都(職務(wù)、職稱��、學(xué)位�、單位名稱及地址)申請專業(yè)學(xué)位級別碩士專業(yè)名稱信息安全論文提交日期2012年3月論文答辯日期2012年5月學(xué)位授予單位和
2、日期電子科技大學(xué)答辯委員會主席評閱人年月日注1:注明《國際十進(jìn)分類法UDC》的類號�。萬方數(shù)據(jù)獨(dú)創(chuàng)性聲明本人聲明所呈交的學(xué)位論文是本人在導(dǎo)師指導(dǎo)下進(jìn)行的研究工作及取得的研究成果。據(jù)我所知�����,除了文中特別加以標(biāo)注和致謝的地方外��,論文中不包含其他人已經(jīng)發(fā)表或撰寫過的研究成果,也不包含為獲得電子科技大學(xué)或其它教育機(jī)構(gòu)的學(xué)位或證書而使用過的材料�����。與我一同工作的同志對本研究所做的任何貢獻(xiàn)均已在論文中作了明確的說明并表示謝意��。簽名:日期:年月日關(guān)于論文使用授權(quán)的說明本學(xué)位論文作者完全了解電子科技大學(xué)有關(guān)保留�、使用學(xué)位論文的規(guī)定�����,有權(quán)保留并向國家有關(guān)部門或機(jī)構(gòu)送交論文的復(fù)印件和磁盤�,允許論
3、文被查閱和借閱����。本人授權(quán)電子科技大學(xué)可以將學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫進(jìn)行檢索,可以采用影印���、縮印或掃描等復(fù)制手段保存�����、匯編學(xué)位論文��。(保密的學(xué)位論文在解密后應(yīng)遵守此規(guī)定)簽名:導(dǎo)師簽名:日期:年月日萬方數(shù)據(jù)摘要摘要伴隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展���,開發(fā)人員對軟件的保護(hù)意識也逐漸地增強(qiáng),為了防止軟件中的關(guān)鍵算法被逆向分析�����,在發(fā)布一款軟件之前通常都會對其進(jìn)行加殼處理���。同時(shí)��,惡意代碼為了逃避傳統(tǒng)的基于特征碼掃描的殺毒軟件的查殺����,也大量的使用加殼技術(shù)����。一種已知類型的惡意代碼可以通過加殼使殺毒軟件為其產(chǎn)生大量不同的特征碼序列,使殺毒軟件的特征庫變得越來越龐大�,降低了殺毒軟件特
4、征碼的查找與匹配速度����。在對未知惡意代碼的特征碼進(jìn)行提取過程中��,也會因?yàn)檐浖さ拇嬖诙固崛〉降奶卣餍蛄胁粶?zhǔn)確�����。因此��,在評價(jià)一款殺毒軟件的優(yōu)劣時(shí)�����,是否具有較強(qiáng)的脫殼能力已經(jīng)成為一項(xiàng)非常重要的指標(biāo)��。首先����,本文對現(xiàn)有各種流行的加殼與脫殼技術(shù)進(jìn)行研究����,分析它們的實(shí)現(xiàn)原理,分析被加殼程序在靜態(tài)以及運(yùn)行時(shí)的特征�����,歸納被加殼程序的共同特征。其次�����,在對現(xiàn)有技術(shù)的研究基礎(chǔ)之上��,論文設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)運(yùn)行在Windows平臺上的脫殼系統(tǒng)����。該脫殼系統(tǒng)包含了如何實(shí)現(xiàn)對被加殼程序的脫殼����、被加殼原程序的OEP地址的查找、原程序IAT的定位以及修復(fù)以及原程序PE映像的重構(gòu)等內(nèi)容�。為了達(dá)到使宿主系統(tǒng)免受加
5、殼惡意程序的破壞���,以及被加殼程序脫殼的效率這兩個(gè)目標(biāo)����,論文設(shè)計(jì)了一種構(gòu)建于宿主系統(tǒng)之上的受控執(zhí)行環(huán)境�����。加殼惡意代碼在其上受控運(yùn)行時(shí)�����,絕大部分代碼都是直接在宿主系統(tǒng)上運(yùn)行,這保證了脫殼的效率���,同時(shí)�����,對于惡意代碼產(chǎn)生的具有潛在威脅的系統(tǒng)調(diào)用����,受控執(zhí)行環(huán)境進(jìn)行阻斷����,這保證了宿主系統(tǒng)的安全。本文實(shí)現(xiàn)的脫殼系統(tǒng)預(yù)期能夠處理大多數(shù)的已知?dú)?��,例如:SimplePack,fsg,UPX,NSPack,NPack,ASPack,JDPack,eXPressor,PEPack,TeLock�,也能夠?qū)ξ粗獨(dú)みM(jìn)行處理�����。在整個(gè)脫殼的過程中,被加殼惡意程序不會威脅到宿主系統(tǒng)的安全�����,同時(shí)�����,在脫殼效率上
6��、也較高���。本論文最后對脫殼系統(tǒng)進(jìn)行了測試,并對測試結(jié)果進(jìn)行分析���。關(guān)鍵詞:加殼�,脫殼����,OEP,IAT����,系統(tǒng)調(diào)用I萬方數(shù)據(jù)ABSTRACTABSTRACTAlongwiththedevelopmentofcomputertechnology,developer’ssoftwareprotectionconsciousnessalsograduallyincreases.Inordertopreventthekeyalgorithmsofthesoftwarefrombeingreversed,beforereleased,thesoftwareisusuallypackedby
7、somepackers.Meanwhile,inordertoescapefromtraditionalsignaturescanningbasedanti-virussoftware,manymaliciouscodesusethepackingtechnologytoprotectthemselves.Throughusingdifferentpackers,aknowntypeofmaliciouscodecanmakeanti-virussoftwareproduceagreatvarietyofdifferentsi
