返回
恶意代码分析(孔令霞)

恶意代码分析(孔令霞)

ID:43607593

大小:109.11 KB

页数:23页

时间:2019-10-11

恶意代码分析(孔令霞)_第1页
恶意代码分析(孔令霞)_第2页
恶意代码分析(孔令霞)_第3页
恶意代码分析(孔令霞)_第4页
恶意代码分析(孔令霞)_第5页
资源描述:

《恶意代码分析(孔令霞)》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、恶意代码分析(孔令霞)恶意代码分析沈海娇、张张蕊、张丹、徐延朝、张雅雯松组长:孔玲霞组员:成维滨、付志艳、高正安、郭丹丹摘要恶意代码目前在全球范围内广泛传播,给广大用户带来了诸多不便,所以恶意代码的研究势在必行。本文以伯特利大学的BitBlase项目为着手点,从静动态两个方面进行研究,并深入了解了静态分析可执行文件的模型、木马的挂钩行为以及动态分析程序行为的重耍性。为了更好的从静动态研究恶意代码,我们安装配置了Vine和Temu,并给出了配置过程及测试步骤。通过Temu追踪可执行文件的执行过程并生成.trace文件,使用Vine从静态分析Temu产生的.trace

2、文件,清晰地了解恶意代码的感染过程。关键词:恶意代码VineTemu静态动态目录、二、恶意代码简介4静态分析1.Vine简2.Vine的安装及配3.Vine的演4三、动态分1.Temu简2.Temu的安装及配7四、相关文章简8••4置5析••6介6置介1.《BitBlaze:ANewApproachtoComputerSecurityviaBinaryAnalysis》1.《StaticAnalysisofExecutablestoDetectMalicious1.《HookFinder:IdentifyingandUnderstandingMalwareHook

3、ingBehaviors》92.《LearningProgramBehaviorProfilesforIntrusionDetection》9五、六、总结10参考文献:13一、恶意代码简介恶意代码(Maliciouscode)是用来实现某些恶意功能的代码或程序,它通过把代码在不被察觉的情况下镶嵌到另一段程序中,从而达到破坏被感染电脑数据、运行具冇入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性。现在比较流行的网络恶意代码主要包括计算机病毒,网络蠕虫和木马。计算机病毒是指将自身附在程序上,并向其他程序中传播自身的副木,需要用户干预来触发执行的破坏性程序或代码

4、。而网络蠕虫是一组能够进行自我传播,不需要用户干预即可触发执行的破坏性那个程序和代码,其可通过不断搜索和侵入具有漏洞的主机来口动传播,比如红色代码,SQL蠕虫王等等。木马则是一类看起来具有正常功能,但实际上藏匿了很多用户不希槊功能的程序,通常由控制和被控制端组成。同时,恶意代码的传播方式也在迅速地演化,从引导区传播,到某种类型文件传播,到宏病毒传播,到邮件传播,到网络传播,发作和流行的时间越来越短。Form引导区病毒1989年岀现,用了一年的时间流行起来,宏病毒ConceptMacro1995年出现,用了三个月的时间流行,LoveLetter用了大约一天,而Cod

5、eRed用了大约90分钟,Nimda用了不到30分钟.这些数字背后的规律是很显然的:在恶意代码演化的每个步骤,病毒和蠕虫从发布到流行的时间都越来越短。我们的计算机面临的考验越来越多。就目前来讲,恶意代码的传播趋势主要在于:模糊了蠕虫和病毒以及木马的区别,采用混合传播模式,多平台攻击,模糊服务器和客户机的区别,使他们都遭到攻击,另外一个趋势是更多的恶意代码使用销售技术,其冃的不仅在于利用受害者的邮箱实现最大数量的转发,更重要的是引起受害者的兴趣,让受害者进一步对恶意文件进行操作,并且使用网络探测、电子邮件脚本嵌入和其它不使用附件的技术来达到自己的目的。因此,在面对恶

6、意代码对我们的计算机进行恶意篡改吋,除了简单修改注册表等方法外,更值得研究的是学会自己分析恶意代码,以便从更大的层面保护我们的计算机,同时更节省“乱投医”的时间。本文档将对恶意代码及其分析环境进行简单介绍,以供参考。二、静态分析1.Vine简介Vine用于恶意代码静态分析的开源工具,为汇编提供了一种中间语言ILA以及分析用这种语言编写的程序的平台。ILA是一种完善的语言,可以编写,可以做类型检查,还可以编译汇编。Vine还提供了对ILA语言的分析,例如比较抽象的解释,相关性的分析,通过理论阐明的结果进行逻辑分析。Vine可以基于Linux的操作系统Ubuntu9.

7、10的vanilla上运行。Vine提供了一个five.trace的追踪示例。该示例是跟踪一个从键盘输入的简单程序的运行路径,并生成先决条件是程序的控制流路径最弱的STP文件,换句话说,输入的代码将导致其采取一定的路径执行。five.trace等跟踪文件的牛成使用了TEMU即二进制分析动态组件的BitBlaze框架,但牛成的文件包含在示例的目录下,所以你可以尝试不使用TEMU的工具。1.Vine的安装及配置在终端下进行下列内容:切换成root用户准备安装C++编辑器安装Ocaml,并确定Oocaml版木对Ubuntu9.10来讲足够新安装BFD库:建立文档:解压V

8、ine的t

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。