论文部分内容阅读
在计算机安全领域,恶意软件一直以来都是重要的威胁。恶意软件通过破坏运行环境、篡改文件数据等对计算机造成严重损坏。随着网络技术的不断发展,恶意软件通过网络自我传播的能力不断加强,这为计算机防护外来恶意软件入侵提出了新的挑战。本文利用动态分析原理,对恶意软件的行为进行监测与分析,重点针对恶意软件的网络行为进行研究。通过对恶意软件行为的监测与分析,发现恶意软件特殊行为的执行模式,为遏制恶意软件通过互联网进行自我传播提供技术参考。本文的主要工作包括以下四个方面:本文基于动态分析技术,实现了动态监控机制和劫持机制。通过动态监控机制,恶意软件的行为会被成功捕获。而劫持机制则是获取用于详细描绘行为特征的重要信息。对于恶意软件的行为获取,成为了分析恶意软件网络行为的基础。本文提出了利用动态污点分析和恶意软件行为进行消息语义解析的方法。通过动态污点分析,追踪恶意软件行为中重要信息在内存中的流动,从而解析网络中产生的消息的语义。消息语义解析可以用于观测消息的构成,为监测恶意软件的自我传播提供必备条件。本文针对恶意软件的自我复制和自我传播特征进行分析。针对恶意软件的自我复制,利用恶意软件的行为序列,提出了恶意软件自我复制的识别机制。针对恶意软件的自我传播,结合恶意软件的行为序列以及消息语义解析,提出了恶意软件自我传播的识别机制。本文设计并实现了基于隔离环境的恶意软件网络行为监测与分析系统TermiNetor。该系统可以有效地对于隔离环境中的恶意软件进行行为追踪。TermiNetor系统实现了上述提出的所有方法和机制,可以对恶意软件的网络行为进行分析,并且明确恶意软件的自我复制行为和自我传播行为。