反病毒技術(shù)的探討
頁(yè)數(shù) 49 字?jǐn)?shù) 39582
摘 要
反計(jì)算機(jī)病毒做為計(jì)算機(jī)安全問題的一個(gè)重要組成部分已日益受到人們的重視。本文將對(duì)當(dāng)今先進(jìn)的病毒/反病毒技術(shù)做全面而細(xì)致的介紹，重點(diǎn)當(dāng)然放在了反病毒上，特別是虛擬機(jī)和實(shí)時(shí)監(jiān)控技術(shù)。
在論文中我將首先介紹幾種當(dāng)今較為流行的病毒技術(shù)，包括獲取系統(tǒng)核心態(tài)特權(quán)級(jí)，駐留，截獲系統(tǒng)操作，變形和加密等。然后我將分五節(jié)詳細(xì)討論虛擬機(jī)技術(shù)：第一節(jié)簡(jiǎn)單介紹一下虛擬機(jī)的概論；第二節(jié)介紹加密變形病毒，我會(huì)分析兩個(gè)著名變形病毒的解密子；第三節(jié)是虛擬機(jī)實(shí)現(xiàn)技術(shù)詳解，其中會(huì)對(duì)兩種不同方案進(jìn)行比較，同時(shí)將剖析一個(gè)查毒用虛擬機(jī)的總體控制結(jié)構(gòu)；第四節(jié)主要是對(duì)特定指令處理函數(shù)的分析；最后在第五節(jié)中我列出了一些反虛擬執(zhí)行技術(shù)做為今后改進(jìn)的參照。論文的第三章主要介紹實(shí)時(shí)監(jiān)控技術(shù)，由于win9x和winnt/2000系統(tǒng)機(jī)制和驅(qū)動(dòng)模型不同，所以我將會(huì)分成兩個(gè)操作系統(tǒng)進(jìn)行討論。其中涉及的技術(shù)很廣泛：包括驅(qū)動(dòng)編程技術(shù)，文件鉤掛，特權(quán)級(jí)間通信等等。
總之，本論文介紹的技術(shù)涉及操作系統(tǒng)底層機(jī)制，難度較大；本論文提供的代碼，包括一個(gè)虛擬機(jī)C語言源代碼和兩個(gè)病毒實(shí)時(shí)監(jiān)控驅(qū)動(dòng)程序反匯編代碼，具有一定的研究和實(shí)用價(jià)值。

關(guān)鍵字：病毒,虛擬機(jī),實(shí)時(shí)監(jiān)控


目 錄
1．緒 論………………………………………………………….1
1. 1課題背景………………………………………………………………1
1.2當(dāng)今病毒技術(shù)的發(fā)展?fàn)顩r……………………………………………2
1.2.1系統(tǒng)核心態(tài)病毒……………………………………………………2
1.2.2駐留病毒……………………………………………………………4
1.2.3截獲系統(tǒng)操作………………………………………………………5
1.2.4加密變形病毒………………………………………………………7
1.2.5反跟蹤/反虛擬執(zhí)行病毒………………………………………….7
1.2.6直接API調(diào)用………………………………………………………7
1.2.7病毒隱藏…………………………………………………………..9
1.2.8病毒特殊感染法…………………………………………………..9
2．虛擬機(jī)查毒………………………………………………….11
2.1虛擬機(jī)概論…………………………………………………………. 11
2. 2加密變形病毒……………………………………………………….12
2.3虛擬機(jī)實(shí)現(xiàn)技術(shù)詳解……………………………………………….15
2.4虛擬機(jī)代碼剖析……………………………………………………..21
2.4.1不依賴標(biāo)志寄存器指令模擬函數(shù)的分析……………………….21
2.4.2依賴標(biāo)志寄存器指令模擬函數(shù)的分析………………………….22
2.5反虛擬機(jī)技術(shù)…………………………………………………………23
3．病毒實(shí)時(shí)監(jiān)控………………………………………………25
3.1實(shí)時(shí)監(jiān)控概論……………………………………………………….25
3.2病毒實(shí)時(shí)監(jiān)控實(shí)現(xiàn)技術(shù)概論……………………………………….25
3.3WIN9X下的病毒實(shí)時(shí)監(jiān)控…………………………………………..27
3.3.1實(shí)現(xiàn)技術(shù)詳解………………………………………………….27
3.3.2程序結(jié)構(gòu)與流程……………………………………………….30
3.3.3HOOKSYS.VXD逆向工程代碼剖析……………………………..32
3.3.3.1鉤子函數(shù)入口代碼…………………………………………….33
3.3.3.2取得當(dāng)前進(jìn)程名稱代碼……………………………………….34
3.3.3.3通信部分代碼………………………………………………….35
3.4WINNT/2000下的病毒實(shí)時(shí)監(jiān)控…………………………………….36
3.4.1實(shí)現(xiàn)技術(shù)詳解………………………………………………….36
3.4.2程序結(jié)構(gòu)與流程……………………………………………….42
3.4.3HOOKSYS.SYS逆向工程代碼剖析……………………………..44
3.4.3.1取得當(dāng)前進(jìn)程名稱代碼……………………………………….44
3.4.3.2啟動(dòng)鉤子函數(shù)工作代碼……………………………………….45
3.4.3.3映射系統(tǒng)內(nèi)存至用戶空間代碼……………………………….45
結(jié)論……………………………………………………………..47
致謝……………………………………………………………..48
主要參考文獻(xiàn)…………………………………………………..49

主要參考文獻(xiàn)
【1】David A. Solomon, Mark Russinovich 《Inside Microsoft Windows 2000》
September 2000
【2】David A. Solomon 《Inside Windows NT》 May 1998
【3】Prasad Dabak，Sandeep Phadke，Milind Borate 《Undocumented Windows NT》
October 1999
【4】Matt Pietrek 《Windows 95 System Programming Secrets》 March 1996
【5】Walter Oney 《System Programming for Windows 95》 March 1996