浅析计算机病毒检测系统的研究与实现

透彻分析了计算机病毒的特征和计算机反病毒技术.当今比较先进的反病毒技术有实时扫描技术,启发式代码扫描技术,虚拟机技术和主动内核技术等.但是目前杀毒软件主要还是以特征代码法为基础.所以重点研究了一个基于特征代码法的病毒检测系统的设计思想和实现技术.首先,分析了二进制可执行病毒脚本病毒和宏病毒的特征提取技术,设计了一个简单蜜罐系统来获取病毒样本.其次,为了解决特征代码不能检测未知病毒的问题,对引擎做了改进.通过对PE文件格式的分析,总结了一系列与PE文件头节表有关的染毒标志性行为,利用这些行为特征设计了基于PE文件状态的病毒检测方案,两种病毒检测方法的结合显著提高了检测效率.     

WindowsPE文件感染技术的研究

随着计算机和网络技术的发展,人们的工作与生活已经越来越离不开计算机的使用,然而,病毒技术的发展,对计算机和网络的安全构成了极大的危害。本文针对计算机病毒中主流的文件型病毒,介绍了PE文件的格式,研究了各种PE文件感染的主要方法。     

基于逻辑语义流图的Win32 PE病毒检测方法

通过详细分析Win32 PE病毒程序的搜索模块和传染模块,提出基于逻辑语义流图的病毒检测方法。该方法总结Win32 PE病毒的语义特征构造出病毒模式库,提取模式库中模式集与目标文件逻辑流图的节点集进行模式匹配,同时利用病毒程序和正常程序语义特征的差异性,达到检测病毒的目的。模拟实验选择4种病毒作为样本来确定阈值,并对80个正常PE文件和45个含PE病毒的文件进行检测,结果表明,选择合适的阈值可以有效检测出PE病毒。     

Win32 PE病毒研究

计算机病毒在近年来发展很快,从早期的DOS病毒到现在的W in32病毒,它成为直接威胁计算机信息安全主要因素.W in32 PE文件格式是W indows操作系统主要的可执行文件格式.主要介绍Win32 PE文件病毒的机理、关键技术及其传染的过程,以期对其的破解和控制有助.     

PE文件中的库函数识别算法

本文提出了一种对PE文件中库函数进行识别的方法,首先对PE文件的格式进行了介绍,在进行识别时对PE文件进行反汇编,然后对汇编代码进行识别。最后给出了识别库函数的非展开形式和展开形式的方法。     

PE文件简析

介绍了 PE完整的格式由以下几方面组成 :MS- DOS的文件头 ,紧跟着的是实模式段截的程序 ,接着是 PE文件标识 ,然后就是 PE文件头 ,PE文件可选头和其它所有的各段段头 ,最后是各段段体     

32位PE文件分析器的设计与实现

Windows操作系统下的可执行文件一般采用PE(Portable Executable)文件格式,通过一定的方式可对该文件格式进行解析。本文以PE文件为研究对象,对其结构进行了详细的分析,设计并实现了一个32位的PE文件分析器软件,利用该软件可对一个可执行文件的PE格式进行解析,包括其MS-Dos头、PE头、导入和导出表和资源表等内容,为拆分文件、捆绑木马、破解程序以及加密解密等打下一定的基础。     

基于自适应攻击树的木马检测方法

本文研究并总结出木马攻击行为的规律,通过静态分析PE文件提取出程序运行时调用的API,用木马攻击中常见的危险系统调用序列来建模一个动态攻击树,将分析PE文件得到的API调用集合与建立的攻击树进行匹配,有效的区分木马文件和正常文件,并能根据检测结果对攻击树进行动态的调整,以不断提高攻击树对未知病毒的检测能力。     

基于自适应攻击树的木马检测方法

本文研究并总结出木马攻击行为的规律,通过静态分析PE文件提取出程序运行时调用的API,用木马攻击中常见的危险系统调用序列来建模一个动态攻击树,将分析PE文件得到的API调用集合与建立的攻击树进行匹配,有效的区分木马文件和正常文件,并能根据检测结果对攻击树进行动态的调整,以不断提高攻击树对未知病毒的检测能力。     

PE文件内部结构探密

通过对Windows环境下PE文件结构的探索,揭示了PE文件的内部结构,为程序员更深层次编写程序提供了实质性的理论基础,尤其在病毒安全、黑客攻防等方面更需要借鉴.     

我国计算机病毒大事记

大约是在1988年,石头和小球病毒随着软盘悄悄地通过香港和美国进入了中国内地,据传小球病毒是国内发现的第一个计算机病毒。 1989到1991年,“米开朗琪罗”和“黑色星期五”这两个文件病毒首开破坏软件系统之先河。当时声势之大,决不逊色于现时CIH病毒。 1998年,CIH病毒创造了几个之最:CIH病毒是第一个流行的攻击PE格式32位保护模式程序的病毒;CIH病毒是第一个可以破坏计算机硬件的病毒。     

变形病毒技术研究及反病毒策略设计

在过去的几年里,病毒变形技术已经越来越走向成熟,在认识到传统的反病毒手段对于变形病毒已经失效的基础上,本课题确定了利用PE格式文件头信息通过行为检测技术来对病毒进行检测的反病毒策略,共总结得到相应检测规则十条。     

32位Windows系统下的PE文件结构及其应用

PE文件结构是Win32环境所带的可执行文件格式,该结构由Dos ‘MZ’ Header，Dos Stub，PE Header，Section Table，Section等5大部分组成，各部分之间通过指针相互联系形成一个整体，借助这些指针即可实现对任何一个可执行文件的内部结构和所用到的资源进行分析的操纵.     

基于关联规则挖掘技术的病毒主动防御系统

提出了一种在Windows平台下检测变形病毒及未知病毒的新方法——以PE文件调用的WinAPI序列为特征，采用数据挖掘技术（OOA挖掘）来检测变形病毒及未知病毒．实验结果表明，本文所实现DMAV系统具有很好的鲁棒性和智能性，其中OOA规则生成器有效地解决了特征提取的优化问题。     

Windows操作系统冗余动态链接库的删除

通过递归扫描硬盘目录树 ,分析每个可执行文件及动态链接库的PE或NE格式 ,抽取出其所调用的动态链接库名 ,与系统目录下的库文件比较 ,删除那些未使用的库文件 ,从而达到减少文件冗余的目的 .     

PE文件格式的大容量信息隐藏技术

为了进一步实现利用可移植可执行(Portable executable,PE)文件隐藏大容量的信息,该文对大容量隐藏信息的方法进行了研究。该文利用PE文件格式存在冗余空间的特点,实现了对PE文件进行信息嵌入。提出了一种利用多个PE文件存储信息的方法。通过对多个PE文件的区块冗余进行信息嵌入,实现了大容量的信息隐藏。研究结果表明,利用多个PE文件进行信息隐藏能为大容量信息隐藏提供新的思路。     

PE文件简析

介绍了PE完整的格式由以下几方面组成：MS－DOS的件头，紧跟着的是实模式段截的程序，接着是PE件标识，然后就是PE件头，PE件可选头和其它所有的各段段头，最后是各段段体。     

数字文件CAD格式转换GIS格式的应用

林业单位与城建、国土等部门进行建设项目使用林地前置审批工作的协调配合比较多，后者一般使用 CAD数据，而林业单位则需要将CAD格式的数字文件，转换为林业地理信息经常采用的GIS格式数据以后，才能进行下一步的具体应用。因此，熟练掌握数字文件CAD格式转换为GIS格式，对林业单位正常工作的开展具有重要的意义。结合工作实际，主要就林业单位中数字文件 CAD格式转换为GIS格式的具体应用进行了阐述。     

纹理映射中常见图象文件存储格式的分析

通过对多种微机数字图象文件存储格式的研究，剖析了纹理映射中三种常用图象文件的存储格式，并讨论了两种普遍采用的压缩方法，为编程人员充分利用丰富的纹理库提供了捷径。     

一种PE文件RSA验证加密算法

研究了非对称RSA加密算法及PE文件结构,基于Derome的RSA密钥快速生成方法,提出了利用高级语言ASM编写嵌入RSA验证DLL和直接修改PE文件来加密Win32平台下的PE可执行文件的方法。该方法避免了耗时的Euclidean算法,可并行处理,同时在PE文件验证时嵌入了DLL来实现,具有很好的安全强度。