反病毒引擎设计

• 本文将对当今先进的病毒/反病毒技术做全面而细致的介绍，重点当然放在了反病毒上，特别是虚拟机和实时监控技术。文中首先介绍几种当今较为流行的病毒技术，包括获取系统核心态特权级，驻留，截获系统操作，变形和加密等。然后分五节详细讨论虚拟机技术：第一节简单介绍一下虚拟机的概论；第二节介绍加密变形病毒，作者会分析两个著名变形病毒的解密子；第三节是虚拟机实现技术详解，其中会对两种不同方案进行比较，同时将剖析一个查毒用虚拟机的总体控制结构；第四节主要是对特定指令处理函数的分析；最后在第五节中列出了一些反虚拟执行技术做为今后改进的参照。论文的第三章主要介绍实时监控技术，由于win9x和winnt/2000系统机制和驱动模型不同，所以会分成两个操作系统进行讨论。其中涉及的技术很广泛：包括驱动编程技术，文件钩挂，特权级间通信等等。本文介绍的技术涉及操作系统底层机制，难度较大。所提供的代码，包括一个虚拟机C语言源代码和两个病毒实时监控驱动程序反汇编代码，具有一定的研究和实用价值。
  关键字：病毒，虚拟机，实时监控
  文档内容目录
  1．绪 论
  
  1. 1课题背景
  
  1.2当今病毒技术的发展状况
  
  1.2.1系统核心态病毒
  
  1.2.2驻留病毒
  
  1.2.3截获系统操作
  
  1.2.4加密变形病毒
  
  1.2.5反跟踪/反虚拟执行病毒
  
  1.2.6直接API调用
  
  1.2.7病毒隐藏
  
  1.2.8病毒特殊感染法
  
  2．虚拟机查毒
  
  2.1虚拟机概论
  
  2. 2加密变形病毒
  
  2.3虚拟机实现技术详解
  
  2.4虚拟机代码剖析
  
  2.4.1不依赖标志寄存器指令模拟函数的分析
  
  2.4.2依赖标志寄存器指令模拟函数的分析
  
  2.5反虚拟机技术
  
  3．病毒实时监控
  
  3.1实时监控概论
  
  3.2病毒实时监控实现技术概论
  
  3.3WIN9X下的病毒实时监控
  
  3.3.1实现技术详解
  
  3.3.2程序结构与流程
  
  3.3.3HOOKSYS.VXD逆向工程代码剖析
  
  3.4WINNT/2000下的病毒实时监控
  
  3.4.1实现技术详解
  
  3.4.2程序结构与流程
  
  3.4.3HOOKSYS.SYS逆向工程代码剖析
  
  结论
  
  致谢
  
  主要参考文献
  
  
  1．绪 论
  本论文研究的主要内容正如其题目所示是设计并编写一个先进的反病毒引擎。首先需要对这“先进”二字做一个解释，何为“先进”？众所周知，传统的反病毒软件使用的是基于特征码的静态扫描技术，即在文件中寻找特定十六进制串，如果找到，就可判定文件感染了某种病毒。但这种方法在当今病毒技术迅猛发展的形势下已经起不到很好的作用了。原因我会在以下的章节中具体描述。因此本论文将不对杀毒引擎中的特征码扫描和病毒代码清除模块做分析。我们要讨论的是为应付先进的病毒技术而必需的两大反病毒技术--虚拟机和实时监控技术。具体什么是虚拟机，什么是实时监控，我会在相应的章节中做详尽的介绍。这里我要说明的一点是，这两项技术虽然在前人的工作中已有所体现（被一些国内外先进的反病毒厂家所使用），但出于商业目的，这些技术并没有被完全公开，所以你无论从书本文献还是网路上的资料中都无法找到关于这些技术的内幕。而我会在相关的章节中剖析大量的程序源码（主要是2.4节中的一个完整的虚拟机源码）或是逆向工程代码（3.3.3节和3.4.3节中三个我逆向工程的某著名反病毒软件的实时监控驱动程序及客户程序的反汇编代码），并同时公布一些我个人挖掘的操作系统内部未公开的机制和数据结构。另外我在文中会大量地提到或引用一些关于系统底层奥秘的大师级经典图书，这算是给喜爱系统级编程但又苦于找不到合适教材的朋友开了一份书单。下面就开始进入论文的正题。
  
  1.1课题背景
  本论文涉及的两个主要技术，也是当今反病毒界使用的最为先进的技术中的两个，究竟是作何而用的呢？首先说说虚拟机技术，它主要是为查杀加密变形病毒而设计的。简单地来说，所谓虚拟机并不是个虚拟的机器，说得更合适一些应该是个虚拟CPU（用软件实现的CPU），只不过病毒界都这么叫而已。它的作用主要是模拟INTEL X86 CPU的工作过程来解释执行可执行代码，与真正的CPU一样能够取指，译码并执行相应机器指令规定的操作。当然什么是加密变形病毒，它们为什么需要被虚拟执行以及怎样虚拟执行等问题会在合适的章节中得到解答。再说另一个重头戏--实时监控技术，它的用处更为广泛，不仅局限于查杀病毒。被实时监控的对象也很多，如中断（Intmon），页面错误（Pfmon），磁盘访问（Diskmon）等等。用于杀毒的监控主要是针对文件访问，在你要对一个文件进行访问时，实时监控会先检查文件是否为带毒文件，若是，则由用户选择是清除病毒还是取消此次操作请求。这样就给了用户一个相对安全的执行环境。但同时，实时监控会使系统性能有所下降，不少杀毒软件的用户都抱怨他们的实时监控让系统变得奇慢无比而且不稳定。这就给我们的设计提出了更高的要求，即怎样在保证准确拦截文件操作的同时，让实时监控占用的系统资源更少。我会在病毒实时监控一节中专门讨论这个问题。这两项技术在国内外先进的反病毒厂家的产品中都有使用，虽然它们的源代码没有公开，但我们还是可以通过逆向工程的方法来窥视一下它们的设计思路。其实你用一个十六进制编辑器来打开它们的可执行文件，也许就会看到一些没有剥掉的调试符号、变量名字或输出信息，这些蛛丝马迹对于理解代码的意图大有裨益。同时，在反病毒软件的安装目录中后缀为.VXD或.SYS就是执行实时监控的驱动程序，可以拿来逆向一下（参看我在后面分析驱动源代码中的讨论）。相信至此，我们对这两项技术有了一个大体的了解。后面我们将深入到技术的细节中去。
  
• [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 反病毒引擎设计 相关文章：
• ·卡巴斯基防火墙“反黑客”的设置技巧
• ·谷歌清除恶意链接 黑客反击破坏排名系统
• ·认识反网络钓鱼欺骗新技术
• ·微软Win Vista SP1加强反盗版
• ·企业选择反间谍软件程序10个要点
• ·增加Distinct后查询效率反而提高
• ·文件遭破坏致Win XP系统反复重启
• ·互联网基础建设影响博客 反对封杀P2P
• ·Xml 串行话对象与反串行实例
• ·Photoshop模拟太阳镜上的反光图像
• 反病毒引擎设计 相关软件
• ·《反恐精英》uyr精彩主视角录像
• ·《反恐精英》JAEGARN精彩主视角录像
• ·《反恐精英》录像：aTTaX vs GoodGame
• ·《反恐精英》NoA.ave精彩主视角录像
• ·《反恐精英》录像：MYM vs Logitech.fi
• ·《反恐精英》录像：俄罗斯 vs 法国
• ·《反恐精英》stone精彩主视角录像
• ·《反恐精英》fnatic.f0rest精彩主视角录像
• ·《反恐精英》saken精彩主视角录像
• ·《反恐精英》SK训练地图：glock 下载

上一篇:如何利用ASP把图片上传到数据库

下一篇:反病毒引擎设计

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐