感染型病毒防御系统①.PDF

下载文档 降价啦

1
0
约1.24万字
约 4页
2018-12-13 发布于天津
举报
版权申诉
保障服务

感染型病毒防御系统①.PDF

1、本文档共4页，可阅读全部内容。
2、有哪些信誉好的足球投注网站（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。
3、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。

感染型病毒防御系统①.PDF

2013 年第 22 卷第 2 期计算机系统应用感染型病毒防御系统① 郑焕鑫, 叶小平 (华南师范大学计算机学院, 广州 510631) 摘要: 通过设计一个简单感染型病毒, 发现主流杀毒软件主动防御策略无法对其进行有效拦截. 根据在正常情况下系统PE 文件不会发生变化的特性, 提出通过拦截对已有PE 文件写操作来实现主动防御的方法, 并设计相应系统 PEPS. 仿真实验表明, 该方法对于感染型病毒的防御效果优于主流杀毒软件. 关键词: PE 感染型病毒; 写操作; 拦截; PEPS Defense of Infectious Viruses ZHENG Huan-Xin, YE Xiao-Ping (School of Computer, South China Normal University, Guangzhou 510631, China) Abstract: After designing a simple infectious virus, we find the Active Defense Strategy of mainstream anti-virus software can’t intercept the infectious operations effectively. Under normal circumstances, the original PE files of the system cannot be modified. According to this characteristic, the following article develops a way to realize initiative recovery by monitoring illegal write operation of original PE file and design a system –PEPS. The simulation experiments show that the method is more effective on the defense of infectious viruses than mainstream anti-virus software. Key words: PE infectious viruses; write operation; interception; PEPS 根据瑞星公司发布 2011 年上半年病毒趋势分析 1 主流杀毒软件防御缺陷分析报告, 当前病毒主要是通过使用少量的由汇编语言编 1.1 感染型病毒基本模型写引导部分加载由高级语言编写的主体功能部分. 这病毒首先判断目标文件是否为 PE 文件[1,7], 通常与早期采用纯汇编语言方式相比, 降低了门槛, 使得 [2] 判断标准是“MZ”和“PE”组合标志 ; 接着在区块表最病毒变种速度不断加快. 与一般恶意代码相比, 感染后添加一个写有病毒代码的区块[3], 相应过程如图 1 型病毒不能以特征码方法直接查杀. 系统关键文件被所示. 为防止重复感染, 在感染处设置感染标志. PE 感染后, 需要进行相应修复工作. 感染型病毒寄生对文件感染病毒后, 宿主程序执行时先执行新建区块中象是 windows 可执行文件, 对宿主的寄生方式变化多代码, 然后跳转到原来宿主代码区块执行. 通过这个端, 目前还不存在通用的修复工具. 一旦病毒感染成过程, 病毒获得执行权限, 同时也执行了宿主代码, 功,