一、调用Windows API函数实现自动修复注册表中IE项的值(论文文献综述)
黎星宇[1](2021)在《基于文本神经网络的恶意代码功能分类研究与应用》文中指出近年来,恶意代码分析一直都是中国网络安全领域研究的重要课题之一。其中高级可持续威胁攻击(Advanced Persistent Threat,APT)是一种特定的恶意代码入侵方式,它通过扫描探测系统漏洞,对靶机投放恶意漏洞利用脚本,再植入二进制恶意程序,达到感染主机的目的。研究恶意代码功能分类模型能进一步分析出恶意代码的功能行为信息,从而有效地提升APT防御技术,保护网络安全。但近年来分类恶意代码的特征选取缺乏自动化工具,且提取的数据特征无法全面描述恶意代码的语义行为,导致分类准确率低,代码可解释性差等问题。因此本文利用文本神经网络技术,从静态语义和动态行为两方面入手,针对漏洞利用源码与二进制恶意代码分别提出高效准确、功能级粒度的自动化分类方案。本文针对两种类型的恶意代码进行分析,主要研究工作与创新如下:(1)针对恶意漏洞利用源代码的研究中存在缺少自动化分析工具和代码难阅读的两个问题,提出了将代码词或词组看作单词和词组的概念,对其进行空间向量建模,构建了一种基于源代码语义的神经网络模型MSC-textCNN。实现源码的词义识别,做到无人工提取特征的预前过程,端到端分类恶意漏洞利用源代码的攻击功能。同时运用机器学习方法建立了恶意代码特征词库,能帮助源码分析者更快对源码做出行为解释。与几种机器学习方法相比,基于MSC-textCNN的方案在分类准确率上有3.08%到6.54%的提升。(2)考虑到静态特征无法表征恶意代码深层行为信息且容易出现信息错误,提出利用Windows系统调用(Application Programming Interface,API)序列监听二进制恶意代码的行为信息,组合卷积神经网络(Convolutional Neural Networks,CNN)与双向长短期记忆网络(Bi-directional Long Short-Term Memory,BiLSTM)结构,构建分类模型MB-textRCNN。该模型不仅捕获系统调用序列中N-Gram词组间的联系,还能保留动态行为在时序上的前后依赖关系,模型最终取得了98.66%的分类精度。经验证整体方案在公开数据集上依旧有良好分类表现,与其他组合方案相比,平均准确率模提高了5.49%至7.03%,分类性能更出色。综合两类型恶意代码语义特征的提取,实现了基于B/S架构的恶意代码分析可视化原型系统。该系统在提供文件管理功能的基础上,使用Echarts技术帮助分析人员直观高效地进行可视化信息获取,采用图表联动等多种响应式交互技术辅助分析人员挖掘二进制恶意代码动态行为信息。
王乐乐[2](2020)在《恶意程序动态行为分析关键技术研究》文中指出随着各种系统漏洞被不断发现,恶意程序种类及其变种数量呈指数级上升,怀有不同目的的大规模APT攻击不断出现,针对个人计算机及企业服务器的攻击呈现出规模化、体系化、智能化、复杂化等特点,网络攻击方式层出不穷,手段日渐丰富,给传统的恶意程序分析检测带来了极大的挑战。由于恶意程序自我保护能力不断提升,传统静态分析算法不能穷尽恶意程序所有可能执行路径,很多行为获取不到,越来越不能满足恶意程序分析的要求。同时,加壳及变种恶意程序的不断增多也对恶意程序的动态分析提出了新的挑战,需要研制通用高效的恶意程序动态分析系统平台,来捕获恶意程序的不同行为,并进行行为抽象获得行为特征。另外,为了处理捕获的海量恶意程序样本,需要建立精确的恶意程序分类模型,对可疑程序进行分析研判,识别恶意特征,并完成精准分类的任务。针对恶意程序分析检测中存在的问题,本文充分分析了恶意程序静态和动态分析优缺点,设计基于Cuckoo的恶意程序动态分析系统,为恶意程序运行创造“模拟的真实环境”,让恶意行为充分暴露,捕获其运行过程中的全部API序列以及对应的参数,并对其进行行为抽象。在此基础上,本文通过对基于自注意力机制的深度残差网络、基于最小行为图的匹配算法,以及多层语义聚合的递归神经张量网络的深入研究,对恶意程序行为进行精准分类,以期提高恶意程序的检测准确率。本文的主要研究成果有:(1)针对现有分析工具对恶意程序行为捕获及分析能力不足的问题,提出了基于行为的抽象方法。通过沙盒构造程序运行时所需的环境,将程序运行时的API序列及参数信息全部捕获到,通过构造辅助表,分析API之间的依赖关系,根据程序运行时调用的系统资源,提出了基于恶意行为的抽象方法,完成对API序列的行为抽象,构建该序列的行为特征向量。实验结果表明,通过对4个典型API的测试和验证,基于行为的抽象方法分析出的行为抽象结果与实际数据完全吻合,其捕获的行为能够有效表征测试程序的行为。(2)针对现有恶意程序分析中不易精确获取恶意行为特征的问题,提出了基于自注意力机制的深度残差神经网络恶意程序分类算法。该算法借鉴图像识别领域用深度残差网络模型进行训练的思路,引入自注意力机制,通过对大量样本的训练,学习同类样本之间的相似度,自动获得能够表征不同类别差异的特征。实验结果表明,深度残差神经网络模型的检测率比传统机器学习算法检测率有明显提升,达到91.5%;特别是引入自注意力机制后,和ResNet-50相比,准确率提升了2.5%,误检率下降了3%,表明自注意力机制有助于提取更加精确的分类特征,有助于提升算法的分类准确率。(3)针对传统的行为特征描述无法直观反映恶意程序真实攻击意图的问题,提出基于最小行为图匹配的分类算法。该算法基于沙盒系统捕获的恶意程序行为序列,建立以“最小行为”为基础的行为图,提出了行为图匹配算法,并构建了82个常见恶意行为的“最小行为”图,从而对恶意行为进行了直观的描述。实验结果表明,采用“最小行为”图匹配算法,能够检测大部分的恶意行为,在捕获能力上要高于常见沙盒系统。用四大类别的恶意程序样本进行识别率的实验,除AutoRun类外,对其他类别恶意程序的识别率都在90%以上,具有较高的检测准确率。(4)针对一般的机器学习恶意程序分类算法以程序特征为基础,未考虑实际语义的问题,提出了基于多层语义聚合与递归神经张量网络相结合的恶意程序分析模型。通过研究恶意程序语义的聚合关系,提出一种多层语义聚合模型。借鉴递归神经张量网络自底向上逐层计算的特点,以减少参数计算为目的,构建了多层语义聚合与递归神经张量网络相结合的恶意程序分析模型。为检测模型的实际性能,实验中搭建了基于多层语义聚合的RNTN网络恶意程序分析系统。实验结果表明,该模型的检测指标要优于机器学习算法,能够提升恶意程序的分析检测性能,为恶意程序分析提供了一种好的解决方案。
温岩松[3](2020)在《恶意软件信息抽取与知识图谱展示系统的构建与实现》文中进行了进一步梳理随着信息技术的迅速发展,人类已进入数字时代,人们对自身隐私和计算机网络的安全问题也逐渐重视起来。然而与此同时,黑客使用各种入侵工具导致企业和用户受到财产损失,其中范围最广、影响最大的就是利用恶意软件程序进行的攻击方式。这些恶意软件程序不仅数量巨大,而且普遍具有复杂的功能模块以及先进的漏洞利用、隐蔽生存、杀软对抗等技术。为安全人员进行恶意软件分析、网络攻击组织画像与溯源提出了巨大挑战,网络安全从业人员非常迫切希望有完整的知识库来指导他们更好地进行恶意程序的分析工作、提供安全防御策略的指导。为缓解这类问题,本文提出利用知识图谱相关技术的解决方案。本文将以二进制文件作为直接数据源,抽取知识并转化为知识图谱要素。基于知识图谱,恶意软件分析人员能够摒弃以往通过人工标注或主观判断方式进行的样本筛选、家族聚类等工作,同时也会为恶意软件技术对抗提供支持。本文的主要工作有以下几点:1)恶意软件领域技术知识库与知识图谱构建方案研究。整理领域技术要点,研究恶意软件知识图谱构建方案;2)恶意软件知识表示模型设计。包括领域实体、关系、属性等信息抽取方案研究;3)恶意软件知识抽取方案研究。研究设计一套稳定、可靠的领域知识抽取方案;4)恶意软件知识图谱应用性研究。研究基于恶意软件知识图谱应用的算法实现;5)恶意软件知识图谱系统的设计和实现,基于以上四方面工作,完成恶意软件知识图谱系统
武振华[4](2019)在《软件供应链污染检测技术研究》文中提出近年来,软件供应链污染问题日益严重,给用户的隐私和财产安全造成了巨大的威胁。攻击者利用软件生产、交付或使用环节中的安全漏洞,通过劫持或篡改软件供应链上的合法软件,对终端用户悄然实施攻击。目前针对软件供应链安全的研究较少,且现有工作多从宏观层面对软件供应链污染、污染检测及污染防治问题进行阐述,鲜有工作提出系统性检测方案。本文对软件供应链下游的污染检测方法进行了系统研究,主要工作和贡献如下:1.目前软件供应链污染检测工作依靠程序逆向分析技术实现,但尚未有工作综述其研究进展。对此,本文分析了国内外百余个影响广泛的软件供应链安全事件,综述了程序逆向分析技术在软件供应链污染检测问题中的研究现状,并指出了自动化程序分析技术在软件供应链污染检测中仍存在的问题。2.针对当前软件供应链污染检测工作较少,相关研究不够系统、深入的问题,本文在软件供应链下游展开污染检测研究;从污染目标和污染途径两方面入手,提出软件供应链污染分类模型,详细分析了软件供应链污染检测中存在的特殊问题;并提出了软件供应链污染检测框架,将软件供应链下游的污染检测问题划分为检测安装包捆绑安装、检测第三方漏洞或恶意模块复用以及检测目标程序中植入恶意代码三大类问题。3.软件供应链下游的污染检测需要能够从软件安装包或压缩包中释放出软件的可执行文件,但目前软件安装包的自动化安装方案普适性差、成功率低。针对该问题,本文提出了可靠的增量式软件自动化安装方法。依次使用基于静默安装参数、控件识别和OCR识别的方式进行安装,实现了高度自动化的软件安装。实验结果表明,对于搜集到的1万余款、超3万个软件安装包,该方案可以成功自动化安装超过95%的样本,为实现污染检测框架中具体的检测方法奠定了基础。4.针对软件供应链污染检测框架重点关注的三类污染检测问题,本文分别详细分析了现有技术存在的不足,并提出了系统性的解决方法:a)针对现有安装包捆绑安装检测方案普适性差的问题,本文提出了基于软件安装信息和机器学习技术的软件捆绑检测方法。首先采集软件安装过程中的行为信息,以及释放的文件信息;然后使用带注意力机制的LSTM(长短期记忆神经网络)模型检测恶意程序捆绑;最后结合软件安装目录和软件家族分类方法实现良性软件捆绑检测。实验结果表明,该方法能够有效检测出存在捆绑行为的软件安装包。b)针对目前缺乏高效、准确的第三方漏洞或恶意模块复用检测方法的问题,本文提出了基于哈希比对和函数相似性分析的模块复用检测方法。通过哈希比对实现文件复用检测;通过跨平台、跨编译器的二进制函数相似性分析实现源代码复用检测。实验结果表明,该方案能够有效发现软件二进制程序中的模块复用问题。c)针对植入型恶意代码隐蔽性强、动态分析覆盖率有限、深度检测耗时巨大的问题,本文提出了基于差分思想的植入型恶意代码检测方案。首先对软件进行家族分类,之后对同家族软件进行谱系分析,进而使用深度神经网络DNN判断相邻版本软件间的差异性,最后对目标程序中出现的差异代码进行深度恶意性分析。实验结果表明,本文的软件家族分类和谱系分析方案快速有效,提高了整体的恶意代码筛查效率。
蒋永康[5](2019)在《恶意代码脱壳及同源判定技术研究》文中指出二十多年来,安全社区与恶意软件的斗争从未停止。然而,尽管学术界和工业界都为这个问题付出了巨大的努力,恶意代码的同源分析仍然是一个开放问题。本文恶意代码脱壳及同源判定研究旨在解决PE(Portable Executable)格式恶意软件端到端的同源分析问题。因此,在详细调研和分析相关研究的基础上,本文设计和实现了PE恶意软件脱壳及同源判定的相关方案和系统,包括:基于启发式OEP(Original Entry Point)判别的动态脱壳方案,基于深度学习的恶意代码谱系分析模型和PE恶意软件同源判定系统。基于启发式OEP判别的动态脱壳方案。加壳程序载入内存后,脱壳存根会自动执行脱壳操作,恢复原程序有效载荷,返回OEP给操作系统执行原程序代码。基于这个事实,本文设计了基于内存写执行和Window API调用的联合触发方法,实现脱壳存根恢复有效载荷的触发;构建了基于熵门限、长跳转和节跳转的启发式OEP判别集合,实现载荷中OEP的识别;设计了导入地址表的搜索算法和API的去混淆方法,实现可执行镜像导入地址表的修复。实验表明,本文提出的方案能胜任常见加壳器的脱壳任务。与相关的研究相比,其在导入函数的修复和脱壳的性能上有明显提高。基于深度学习的恶意代码谱系分析模型。创新性地提出一个名为Mal2Vec的恶意代码矢量化方法和一个名为MalVecNet的深度学习网络。Mal2Vec将反汇编工具生成的恶意样本指令信息和反汇编元数据映射成图像矢量,将恶意软件的谱系分析问题转换为不依赖于领域知识和复杂的特征提取的图像分类问题。同时,本文使用自然语言中语句分类问题的思想来建立和优化MalVecNet,与传统的卷积神经网络相比,其在Mal2Vec上具有更好的理论可解释性,并且可以被快速地训练。与相关研究的对比实验表明,本文提出的基于Mal2Vec和MalVecNet的恶意代码谱系分析模型在性能上取得了显着突破,在大规模恶意软件的谱系分析问题上具有实际意义。PE恶意软件同源判定系统。设计了PE恶意软件的同源判定架构、同源数据库的构建方法,同时实现了整个系统的前后端编写,提供了一个可供使用的系统雏形。实例样本的测试结果显示,本文编写的同源判定系统已具备初步的应用价值。本文重点研究PE恶意软件的通用脱壳、快速谱系分析和攻击线索提取的相关技术,在深入分析现有研究方法和工具的基础上,重点对相关技术在通用性、规模和效率方面进行了优化设计和实现,对于构建大规模PE恶意软件端到端的同源分析系统具有实际的参考意义。
项子豪[6](2018)在《基于深度学习的勒索软件检测方法》文中指出信息技术的快速发展使得数据正成为组织、企业和个人的重要资产。近年来,勒索软件通过锁定用户的系统或加密重要数据来进行勒索,对网络安全造成了严重的危害。现有的通用恶意软件检测系统无法针对性检测勒索软件,对勒索软件的防御依赖于特别的缓解措施。另一方面,机器学习的理论研究逐渐成熟,开始广泛地应用于恶意软件检测领域。在详细研究了勒索软件的攻击过程及其技术原理后,本文基于深度学习技术提出了两种勒索软件检测方法,对于高威胁性和破坏性的加密型勒索软件均取得了良好的检测效果。本文主要研究内容如下:基于前馈神经网络的检测方法以勒索软件运行过程中API调用次数、文件系统操作、注册表操作和导入字符串等作为特征集,以全连接的链式深度神经网络为模型训练分类器。实验表明,该检测方法准确率达到95%,而AUC值达到0.98,具有良好的分类性能和扩展性。基于长短期记忆模型的检测方法以API函数调用序列为特征,对原始数据集进行压缩处理,极大地降低了数据规模,提高了模型学习速率。同时采用Dropout正则化将泛化误差从5%降低到2%,显着地提高了模型性能。实验结果表明,该检测方法的模型学习开销和误报率很低,能准确地检测识别勒索软件及其变种。
王全民[7](2012)在《操作系统安全加固中进程与文件保护关键技术的研究》文中提出信息安全是当前社会关注的热点问题之一,研究信息安全下的操作系统安全加固中进程和文件保护的关键技术,对于化解操作系统面临的安全威胁,保障系统的安全运行具有十分重要的意义。本文以国家863计划“计算支撑平台标准研究”和国家科技支撑计划(攻关计划)“新一代可信任互联网试验网”的研发为背景,结合教学科研工作需要,对操作系统安全加固中进程和文件保护的关键技术进行了详细的分析,提出了隐藏进程的检测、文件的完整性和文件保密性的解决方案,其研究成果具有一定的理论价值和实用价值。主要包括三个方面的工作:1、系统隐藏进程检测技术的研究与实现。从隐藏进程入手,经过对现有隐藏进程技术的分类和归纳,总结出了三个层次的进程隐藏技术,分别是用户级进程隐藏、内核服务级进程隐藏和内核结构数据级进程隐藏技术,从而提出了一种新的多层次检测隐藏进程的模型;通过对这三个级别隐藏技术的分析和实验,依据其特点对检测技术进行了创新设计,提出了一种动态获取链表地址的检测方案并加以实现;2、文件系统完整性的研究和实现。以进程行为为切入点,基于进程对文件系统的操作均需要经过系统文件驱动的基础,通过文件过滤驱动来获取进程对文件系统的改动,提出了一种新的、多层次进程行为检测和信息完整性的保护技术,可以细粒度地过滤进程对文件系统的操作,保证了文件系统完整性;3、文件保密性机制的研究与实现。设计了一种透明加解密高IO性能的双缓存机制方案,对文件缓存的处理和IRP请求的流程上做了技术上的创新。该机制根据原始的IRP请求,智能的进行数据预读并解密,并将带有加解密的文件在内存中存有两块缓存。然后将不管是发往缓存的IRP请求还是磁盘的IRP请求都重新定位到双缓存结构,这样既可以避免了系统缓存不可控的问题,又可以自己创建IRP预读数据到缓存,降低IRP请求的返回时间,有效的提高了整体系统的IO效率。本文研究的对象虽然是基于Windows操作系统,但其研究采用的基本方法、技术和研究成果可以方便的应用到其他操作系统的研究工作中。
王伟[8](2012)在《补丁管理系统客户端技术的研究与实现》文中提出随着信息化时代的到来,由不同的企业、单位建立起来的信息化网络数也越来越多,用户电脑数量也是骤增。这些网络在建立之初由于没有很好的考虑到风险管理的因素,或多或少的存在着设计架构、管理模式、监管力度、自我防御保护等问题,这些问题会造成网络里面用户的信息面临严重的风险。然而风险管理模式可以解决网络的威胁和脆弱性。据统计分析,用户面临的威胁有来自外部的攻击和来自内部的操作人员,然而脆弱性却是由于网络里面用户电脑的操作系统所致。操作系统也是程序,任何程序都不能百分百的完美。即操作系统也有缺陷,这种缺陷就是大家通常所说的漏洞。威胁是与脆弱性相辅相成的,二者之间互相影响。从为解决用户电脑风险为出发点的补丁管理系统就能很好的解决漏洞问题,消除用户潜在隐患,确保用户信息安全。本文主要是从以下几个方面来完成:首先,本论文是对课题的背景以及意义进行了深刻的分析,得出补丁管理系统的重要性。接着对国内外的同类产品的研究与分析,并根据他们产品的优势劣势得出补丁管理系统整体设计方案。其次,根据补丁管理系统整体方案对补丁管理系统客户端子系统的各个模块进行具体细致的设计。接着对此补丁管理系统客户端系统所运用到的创新点和技术难点进行介绍与分析。如补丁索引文件、xml文件解析、中间件技术的运用、P2P下载技术的运用以及客户端扫描方式的分析。通过对这些技术的运用能够有效的使客户端的准确、及时、高效。再次,是对客户端系统具体实现的介绍和在实现期间所遇见的技术问题进行介绍和其解决办法。还有就是系统是在何种环境下面进行测试以及测试所能达到的预期效果图。最后,是对整个论文的工作总结和最下一步工作的展望。
杨恩镇[9](2011)在《木马攻击防范理论与技术研究》文中提出随着计算机技术和网络技术的飞速发展,针对计算机网络的各种攻击愈演愈烈,网络安全问题显得尤为突出。每年都有大量计算机受到木马、病毒等恶意代码的入侵,造成严重的经济损失。其中木马攻击以其隐蔽性强、攻击范围广、危害大等特点成为最常见的网络攻击技术之一,对网络信息安全构成严重威胁。目前主流的木马检测方法主要使用特征码技术、实时监控技术和启发式虚拟机技术。而行为分析技术可以检测特征码未知的木马、病毒等恶意程序,具有主动防御的特点,是当前反木马和反病毒等研究领域中的一个热点。它不同于传统基于特征码的静态扫描技术,而是通过分析未知程序运行时表现出来的动态行为特征,判别其是否为恶意程序。由于存在漏报率和误报率过高、应用效率过低等缺点,至今未能得到大范围的应用,需要进一步研究。准确分析归纳出木马的行为特征是行为分析技术应用于反木马领域的前提。实验中共收集了226个木马样本,参阅了Symantec和安天实验室等权威安全厂商关于木马技术细节的详细分析,通过实验验证了木马的行为特征,并结合相关技术文献,分析归纳了木马服务器在植入、安装、运行和通信等阶段的行为特征。文章介绍了木马行为分析的原理及其优缺点,并深入探讨了木马行为分析的实现技术。决策树分类算法根据样本的多个属性的取值对样本进行分类,可以实现对未知类别样本的分类。在木马行为分析中可以利用决策树分类算法对未知程序的行为特征进行分析,用于判断其是否为木马。本文选用C4.5算法,选择具有较高信息增益率的属性作为分裂属性,构造决策树模型。本文讨论了决策树分类算法在木马行为分析中的应用,通过对未知程序的行为特征进行分类来构造决策树模型,并分析其误报率和漏报率,验证该算法的应用效果。实验中共收集了226个木马样本和230个合法程序,通过计算分析,提取出能够有效区分两者的7个行为特征进行构造决策树模型。根据实验得出的木马行为特征数量统计分析,选择其中出现频率较高的前六项作为分裂属性,并且增加了“呈现可视化界面”这一合法程序区别于木马的典型行为特征作为分裂属性。最后,在木马行为特征分析和构建决策树模型的基础上,本文提出一种新型的基于决策树算法的反木马策略,并实现了一个初步原型。该策略利用API HOOK技术,检测未知程序的API调用情况,结合基于决策树分类算法的木马识别规则知识库,自动判定未知程序是否为木马。该策略具体实现时借助Detours工具库来完成DLL注射和API拦截。
范荣荣[10](2011)在《基于操作虚拟化及时序逻辑的恶意代码分析》文中研究指明恶意代码通过多种传播手段,感染文档文件,破坏系统和网络的正常运行,严重威胁系统及信息安全,窃取个人隐私及商业秘密,甚至通过非法手段获取经济利益和军事机密。因此,恶意代码攻击成为目前倍受关注的安全问题,为了实现对恶意代码的识别与预防,为受害系统提供及时的损失评估及信息恢复,基于行为的恶意代码分析技术成为目前恶意代码分析工作的研究热点,而如何提高恶意代码分析工作的效率及行为分析的准确性是工作的重点,具有重要的现实意义。基于行为的恶意代码分析方法通常采用虚拟机或仿真系统作为恶意代码的执行环境,通过监控恶意代码运行时调用的系统API函数进行恶意代码的行为分析及恶意性的判定,并通过系统快照对执行环境进行状态回滚,为下一次分析提供一个“干净”的系统环境。然而,虚拟机或仿真系统所提供的执行环境易被某些恶意代码检测出来,从而使分析工作无法正常完成。并且,基于系统快照的回滚方式较为耗时,影响分析工作的效率。在基于API调用序列的恶意代码行为分析方面,现有的方法只考虑了对恶意代码操作之间的单一的前后调用关系的描述,而恶意代码在实际操作中存在多种相关关系,如时序关系、主客体关系等,若不能完整地描述这些操作间的关系,势必会影响恶意代码分析的准确率。针对上述不足,本文提出操作虚拟化的方法,该方法为恶意代码的运行提供真实的系统环境,保证恶意代码的执行环境不被检测出来,从而使恶意代码能够正常的运行,使分析工具能够获取完整而真实的API调用序列。该方法通过直接删除恶意操作的执行痕迹来实现系统状态的快速回滚。实验证明,该方法能够有效的提高恶意代码分析工作的效率。同时,本文提出一种基于时序逻辑的恶意代码行为分析方法。该方法引入时序逻辑,形式化的描述恶意代码操作之间的多个相关关系,实现对恶意代码行为更为精确地描述,并设计相应的行为判定算法对目标文件的行为的恶意性进行判断。使用恶意文件、正常文件及部分已知恶意代码的变种组成的数据集对本方法的有效性进行测试,实验证明,该方法能够实现精确的恶意行为描述,有效地判定恶意代码及其变种的恶意性行为,判定准确性高,且误报率低,与现有的主流恶意代码分析产品相比,在恶意操作的获取及分析方面更加详细和精确。基于上述方法,本文设计实现了恶意代码行为自动分析系统OVMAS,该系统通过任务分派器依次打开或运行目标文件,使用内核级代码操作监控器对目标文件在运行时调用的重要的Native API函数进行监控,获取API调用序列,并通过行为检测引擎和恶意行为库对目标文件的行为进行恶意性判定与分析,最后给出分析报告,其中包括被认为具有恶意性的关键系统行为,判定的过程以及序列中体现恶意行为的片段等等。
二、调用Windows API函数实现自动修复注册表中IE项的值(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、调用Windows API函数实现自动修复注册表中IE项的值(论文提纲范文)
(1)基于文本神经网络的恶意代码功能分类研究与应用(论文提纲范文)
| 摘要 |
| Abstract |
| 第1章 绪论 |
| 1.1 研究背景及意义 |
| 1.2 研究现状 |
| 1.2.1 恶意漏洞利用代码的分析研究 |
| 1.2.2 二进制恶意代码的分析研究 |
| 1.3 研究目的与内容 |
| 1.3.1 研究目的 |
| 1.3.2 研究内容 |
| 1.4 论文组织结构 |
| 1.5 本章小结 |
| 第2章 相关理论与技术 |
| 2.1 APT攻击链中的恶意代码 |
| 2.1.1 漏洞利用源代码 |
| 2.1.2 二进制恶意代码 |
| 2.2 恶意代码的分析方法 |
| 2.2.1 静态分析方法 |
| 2.2.2 动态分析方法 |
| 2.3 文本神经网络模型 |
| 2.3.1 词向量模型 |
| 2.3.2 卷积神经网络 |
| 2.3.3 LSTM单元 |
| 2.3.4 传统文本处理方法 |
| 2.4 本章小结 |
| 第3章 基于MSC-textCNN模型的恶意漏洞利用源码分类方案 |
| 3.1 方法概述 |
| 3.2 漏洞利用源代码的向量化表示 |
| 3.2.1 漏洞利用源码数据预处理 |
| 3.2.2 基于CBOW模型的漏洞利用源码向量化 |
| 3.3 MSC-textCNN模型 |
| 3.4 实验结果与分析 |
| 3.4.1 数据集 |
| 3.4.2 恶意漏洞利用源码的特征词库 |
| 3.4.3 评价指标 |
| 3.4.4 结果与分析 |
| 3.5 本章小结 |
| 第4章 基于MB-textRCNN模型的二进制恶意代码分类方案 |
| 4.1 方法概述 |
| 4.2 恶意软件动态API调用与行为特征分析 |
| 4.2.1 恶意软件动态API提取方法 |
| 4.2.2 典型API函数动态行为分析 |
| 4.3 APIs特征向量化表示方法 |
| 4.4 MB-textRCNN模型 |
| 4.5 实验结果与分析 |
| 4.5.1 数据集 |
| 4.5.2 实验环境 |
| 4.5.3 参数选取与评估指标 |
| 4.5.4 实验结果与分析 |
| 4.6 本章小结 |
| 第5章 恶意代码分类原型系统 |
| 5.1 系统结构 |
| 5.2 漏洞利用源码分析模块 |
| 5.3 二进制恶意代码分析模块 |
| 5.4 文件管理中心模块 |
| 5.5 本章小结 |
| 第6章 结论与展望 |
| 6.1 全文总结 |
| 6.2 未来展望 |
| 参考文献 |
| 攻读学位期间取得的研究成果 |
| 致谢 |
(2)恶意程序动态行为分析关键技术研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 课题研究背景及意义 |
| 1.1.1 全球网络安全形势 |
| 1.1.2 我国网络安全形势 |
| 1.2 国内外研究现状 |
| 1.2.1 恶意行为的数据捕获 |
| 1.2.2 恶意行为的特征提取 |
| 1.2.3 恶意程序的分类检测 |
| 1.3 本文研究内容及主要工作 |
| 1.3.1 目前研究中存在的问题 |
| 1.3.2 本文主要研究工作 |
| 1.4 论文的组织与结构 |
| 第二章 相关理论基础 |
| 2.1 恶意程序分析方法 |
| 2.1.1 静态分析法 |
| 2.1.2 动态分析法 |
| 2.2 恶意程序的反分析方法 |
| 2.3 恶意程序的描述方法 |
| 2.4 基于深度学习技术的恶意程序分析 |
| 2.5 深度学习中的词向量设计 |
| 2.6 本文采用的评价标准 |
| 2.7 本章小结 |
| 第三章 基于沙盒的恶意行为捕获与行为抽象 |
| 3.1 引言 |
| 3.2 基于沙盒的行为捕获 |
| 3.2.1 Cuckoo沙盒 |
| 3.2.2 HOOK技术 |
| 3.2.3 Cuckoo HOOK |
| 3.3 基于行为的抽象方法 |
| 3.3.1 基于行为的抽象方法基本内容 |
| 3.3.2 辅助表设计 |
| 3.3.3 基于行为的抽象规则 |
| 3.3.4 基于行为的抽象流程 |
| 3.4 实验与结果分析 |
| 3.5 本章小结 |
| 第四章 基于自注意力机制的深度残差网络恶意程序分类算法 |
| 4.1 引言 |
| 4.2 适应ResNet的词向量映射模型 |
| 4.3 基于自注意力机制的深度残差网络恶意程序分析框架 |
| 4.3.1 残差学习 |
| 4.3.2 残差网络模型 |
| 4.3.3 非局部均值操作 |
| 4.3.4 自注意力机制 |
| 4.4 实验与结果分析 |
| 4.4.1 实验流程及参数设置 |
| 4.4.2 实验数据及结果分析 |
| 4.5 本章小结 |
| 第五章 基于最小行为图匹配的恶意程序分类算法 |
| 5.1 引言 |
| 5.2 行为图的构建规则 |
| 5.2.1 行为图的描述 |
| 5.2.2 最小行为图的建立规则 |
| 5.2.3 最小行为图的存储形式 |
| 5.3 基于最小行为图的匹配算法 |
| 5.3.1 最小行为的关联规则 |
| 5.3.2 基于最小行为图的匹配算法 |
| 5.3.3 关系规则的解析 |
| 5.4 基于最小行为图匹配的恶意程序分析框架 |
| 5.5 实验与结果分析 |
| 5.6 本章小结 |
| 第六章 基于多层语义聚合的递归神经张量网络恶意程序分类算法 |
| 6.1 引言 |
| 6.2 基于递归神经张量网络的恶意程序分析框架 |
| 6.3 基于递归神经张量网络的恶意程序分析算法 |
| 6.3.1 递归神经网络模型 |
| 6.3.2 递归神经张量网络模型 |
| 6.3.3 多层语义聚合关系分析 |
| 6.3.4 基于多层语义聚合的RNTN网络训练方法 |
| 6.4 实验与结果分析 |
| 6.4.1 实验环境 |
| 6.4.2 实验步骤 |
| 6.4.3 实验结果分析 |
| 6.5 本章小结 |
| 第七章 总结与展望 |
| 7.1 总结 |
| 7.2 展望 |
| 致谢 |
| 参考文献 |
| 作者简历 |
(3)恶意软件信息抽取与知识图谱展示系统的构建与实现(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 研究背景和意义 |
| 1.2 国内外研究现状 |
| 1.2.1 恶意软件检测与家族聚类研究现状 |
| 1.2.2 知识图谱技术研究现状 |
| 1.3 主要研究内容和创新点 |
| 1.4 论文组织结构 |
| 第二章 知识图谱与恶意软件分析技术研究 |
| 2.1 资源描述框架RDF及其衍生语言 |
| 2.1.1 RDF |
| 2.1.2 RDFS与OWL |
| 2.1.3 本体构建 |
| 2.2 Neo4j相关技术 |
| 2.2.1 存储模式 |
| 2.2.2 技术特性 |
| 2.3 Cuckoo Sandbox恶意文件分析技术 |
| 2.3.1 Cuckoo体系结构 |
| 2.3.2 HOOK技术 |
| 2.4 本章小结 |
| 第三章 恶意软件知识图谱构建 |
| 3.1 恶意软件知识图谱构建方案 |
| 3.2 恶意软件领域知识库 |
| 3.2.1 植入技术 |
| 3.2.2 执行技术 |
| 3.2.3 持久化技术 |
| 3.2.4 提权技术 |
| 3.2.5 逃避防御技术 |
| 3.2.6 凭证窃取技术 |
| 3.2.7 侦测技术 |
| 3.2.8 横向移动技术 |
| 3.2.9 信息采集技术 |
| 3.2.10 通信技术 |
| 3.2.11 数据处理技术 |
| 3.2.12 破坏技术 |
| 3.3 恶意软件知识模型 |
| 3.2.1 MAEC标准模型研究 |
| 3.2.2 CybOX标准模型研究 |
| 3.2.3 恶意软件知识模型设计思路 |
| 3.2.4 恶意软件知识图谱知识模型 |
| 3.4 实体知识抽取 |
| 3.4.1 恶意软件知识抽取技术路线 |
| 3.4.2 恶意软件知识挖掘过程 |
| 3.5 本章小结 |
| 第四章 基于知识图谱设计的恶意软件家族检测 |
| 4.1 传统恶意软件家族检测方法 |
| 4.2 基于知识图谱的恶意软件家族检测方案 |
| 4.2.1 检测方案设计 |
| 4.2.2 检测方案优势 |
| 4.2.3 检测特征选取方案 |
| 4.2.4 检测算法选取方案 |
| 4.3 本章小结 |
| 第五章 恶意软件知识图谱系统的设计和实现 |
| 5.1 知识图谱系统架构设计 |
| 5.1.1 系统概况 |
| 5.1.2 恶意软件知识图谱构建部分 |
| 5.1.3 基于恶意软件知识图谱应用部分 |
| 5.1.4 数据库设计 |
| 5.2 Cuckoo沙箱优化 |
| 5.3 模块设计实现 |
| 5.3.1 ETL层模块 |
| 5.3.2 数据层模块 |
| 5.3.3 业务层模块 |
| 5.3.4 应用层模块 |
| 5.4 本章小结 |
| 第六章 总结与展望 |
| 6.1 论文工作总结 |
| 6.2 未来工作展望 |
| 参考文献 |
| 致谢 |
(4)软件供应链污染检测技术研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 课题背景与研究意义 |
| 1.2 国内外研究现状 |
| 1.2.1 程序逆向分析技术在软件供应链污染检测问题中的应用 |
| 1.2.2 程序逆向分析技术在用于软件供应链污染检测时仍存在的问题 |
| 1.3 课题研究内容 |
| 1.4 论文组织结构 |
| 第二章 软件供应链污染检测框架 |
| 2.1 软件供应链污染问题分类 |
| 2.2 软件供应链污染检测工作存在的特殊问题 |
| 2.3 软件供应链污染检测框架 |
| 2.4 本章小结 |
| 第三章 增量式软件自动化安装 |
| 3.1 研究动机 |
| 3.1.1 软件自动化安装的研究意义 |
| 3.1.2 现有的方案及不足 |
| 3.2 基本方法 |
| 3.2.1 压缩包解压 |
| 3.2.2 基于静默安装参数的自动化安装 |
| 3.2.3 基于控件识别的自动化安装 |
| 3.2.4 基于文字识别的自动化安装 |
| 3.3 实验测试 |
| 3.3.1 测试环境 |
| 3.3.2 方法步骤 |
| 3.3.3 结果分析 |
| 3.3.4对比实验 |
| 3.4 本章小结 |
| 第四章 基于软件安装信息和机器学习技术的安装包捆绑检测 |
| 4.1 研究动机 |
| 4.2 基本方法 |
| 4.2.1 捆绑恶意程序的安装包检测 |
| 4.2.2 捆绑良性软件的安装包检测 |
| 4.3 实验测试 |
| 4.3.1 测试环境 |
| 4.3.2 方法步骤及实验结果 |
| 4.3.3 对比实验 |
| 4.4 本章小结 |
| 第五章 基于哈希比对和函数相似性分析的第三方模块复用检测 |
| 5.1 研究动机 |
| 5.2 基本方法 |
| 5.2.1 第三方库的直接复用检测 |
| 5.2.2 经源码编译的第三方库的复用检测 |
| 5.3 实验测试 |
| 5.3.1 测试环境 |
| 5.3.2 方法步骤与实验结果 |
| 5.4 本章小结 |
| 第六章 基于差分思想的植入型恶意代码检测 |
| 6.1 研究动机 |
| 6.2 基本方法 |
| 6.2.1 软件家族分类 |
| 6.2.2 软件谱系分析 |
| 6.2.3 二进制代码相似性检测 |
| 6.2.4 差异代码安全性分析 |
| 6.3 实验测试 |
| 6.3.1 测试环境 |
| 6.3.2 实验评估 |
| 6.4 本章小结 |
| 第七章 总结与展望 |
| 7.1 工作与总结 |
| 7.2 计划与展望 |
| 致谢 |
| 参考文献 |
| 作者简历 |
(5)恶意代码脱壳及同源判定技术研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 主要符号对照表 |
| 第一章 绪论 |
| 1.1 研究背景 |
| 1.2 研究现状 |
| 1.2.1 动态分析 |
| 1.2.2 静态分析 |
| 1.2.3 脱壳 |
| 1.3 研究内容 |
| 1.4 论文结构 |
| 第二章 PE文件结构特征与壳 |
| 2.1 PE文件结构 |
| 2.1.1 PE文件概述 |
| 2.1.2 DOS Header结构体 |
| 2.1.3 DOS Stub Program |
| 2.1.4 NT HEADER结构体 |
| 2.1.5 SECTION HEADER结构体 |
| 2.2 PE文件的特征因子 |
| 2.2.1 散列值 |
| 2.2.2 导入函数 |
| 2.2.3 字符串 |
| 2.2.4 PE元数据 |
| 2.3 壳 |
| 2.3.1 常见壳简介 |
| 2.3.2 UPX流程解析 |
| 2.4 本章小结 |
| 第三章 基于启发式OEP判别的动态脱壳方案 |
| 3.1 方案概述 |
| 3.1.1 多层加壳器脱壳存根工作流程 |
| 3.1.2 动态脱壳方案架构 |
| 3.2 有效载荷恢复触发 |
| 3.2.1 动态二进制插桩 |
| 3.2.2 内存先写后执行 |
| 3.2.3 IAT先重建后调用 |
| 3.3 启发式OEP查找 |
| 3.3.1 熵门限 |
| 3.3.2 长跳转 |
| 3.3.3 节跳转 |
| 3.4 IAT修复 |
| 3.4.1 IAT搜索 |
| 3.4.2 API去混淆 |
| 3.5 实验结果与分析 |
| 3.5.1 平台与环境 |
| 3.5.2 实验结果 |
| 3.6 本章小结 |
| 第四章 基于深度学习的恶意代码谱系分析模型 |
| 4.1 模型概述 |
| 4.1.1 模型架构 |
| 4.1.2 反汇编文件 |
| 4.2 恶意代码矢量化 |
| 4.2.1 Nataraj矢量化 |
| 4.2.2 Andrew矢量化 |
| 4.2.3 Yong矢量化 |
| 4.3 深度学习网络 |
| 4.3.1 网络结构 |
| 4.3.2 网络参数 |
| 4.4 实验结果与分析 |
| 4.4.1 数据集 |
| 4.4.2 平台与环境 |
| 4.4.3 评估标准 |
| 4.4.4 实验结果 |
| 4.4.5 相关研究对比 |
| 4.5 本章小结 |
| 第五章 PE恶意软件同源判定系统 |
| 5.1 系统概述 |
| 5.1.1 系统架构 |
| 5.1.2 工作流程 |
| 5.2 同源数据库 |
| 5.2.1 恶意代码收集 |
| 5.2.2 静态线索提取 |
| 5.2.3 Yara谱系标注 |
| 5.3 系统实现 |
| 5.3.1 系统界面 |
| 5.3.2 测试实例 |
| 5.4 本章小结 |
| 第六章 总结与展望 |
| 6.1 本文工作与创新点 |
| 6.2 未来工作展望 |
| 参考文献 |
| 致谢 |
| 攻读学位期间发表的学术论文 |
| 攻读学位期间参与的项目 |
| 攻读学位期间申请的专利 |
(6)基于深度学习的勒索软件检测方法(论文提纲范文)
| 摘要 |
| abstract |
| 第一章 绪论 |
| 1.1 研究背景 |
| 1.1.1 勒索软件的危害 |
| 1.1.2 勒索软件的发展历史 |
| 1.2 研究现状 |
| 1.3 主要研究内容 |
| 1.4 本文组织结构 |
| 第二章 勒索软件相关技术和理论基础 |
| 2.1 引言 |
| 2.2 勒索软件的分类 |
| 2.2.1 基于锁定的勒索软件 |
| 2.2.2 基于加密的勒索软件 |
| 2.3 勒索软件相关技术 |
| 2.3.1 匿名支付与比特币技术 |
| 2.3.2 命令与控制服务器与域名生成算法 |
| 2.3.3 加密方式 |
| 2.4 勒索攻击过程和原理 |
| 2.4.1 勒索软件攻击过程 |
| 2.4.2 基于锁定的勒索软件原理 |
| 2.4.3 基于加密的勒索软件原理 |
| 2.5 安卓端勒索软件 |
| 2.6 勒索软件的发展趋势 |
| 2.7 本章小结 |
| 第三章 深度学习相关理论基础 |
| 3.1 引言 |
| 3.2 前馈神经网络 |
| 3.2.1 神经网络模型 |
| 3.2.2 代价函数 |
| 3.2.3 输出单元 |
| 3.2.4 反向传播算法 |
| 3.3 循环神经网络 |
| 3.3.1 循环神经网络 |
| 3.3.2 长期依赖问题 |
| 3.4 本章小结 |
| 第四章 基于前馈神经网络的勒索软件检测 |
| 4.1 引言 |
| 4.2 数据集构建 |
| 4.3 数据预处理 |
| 4.3.1 特征选择 |
| 4.3.2 特征提取 |
| 4.4 神经网络架构 |
| 4.5 优化算法 |
| 4.6 正则化算法 |
| 4.7 实验与分析 |
| 4.7.1 实验环境 |
| 4.7.2 深度学习框架 |
| 4.7.3 隐藏单元 |
| 4.7.4 超参数优化 |
| 4.7.5 交叉验证 |
| 4.7.6 学习曲线和验证曲线 |
| 4.7.7 性能度量 |
| 4.8 本章小结 |
| 第五章 基于循环神经网络的勒索软件检测 |
| 5.1 引言 |
| 5.2 数据集构建 |
| 5.3 数据预处理 |
| 5.4 长短期记忆网络 |
| 5.5 Dropout |
| 5.6 实验与分析 |
| 5.6.1 调用序列 |
| 5.6.2 优化算法 |
| 5.6.3 结果分析 |
| 5.7 本章小结 |
| 第六章 总结与展望 |
| 6.1 总结 |
| 6.2 展望 |
| 参考文献 |
| 致谢 |
| 攻读硕士学位期间已发表或录用的论文 |
(7)操作系统安全加固中进程与文件保护关键技术的研究(论文提纲范文)
| 中文摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 研究背景 |
| 1.1.1 信息安全的现状 |
| 1.1.2 Rootkit 与信息隐藏技术的发展 |
| 1.1.3 加解密技术的发展 |
| 1.2 国内外研究现状 |
| 1.2.1 隐藏进程检测的研究 |
| 1.2.2 文件加解密的研究 |
| 1.3 论文研究内容 |
| 1.4 论文结构安排 |
| 第二章 相关理论与技术基础 |
| 2.1 WINDOWS 进程内核对象 |
| 2.2 用户模式下进程隐藏的 HOOK 技术 |
| 2.2.1 IAT HOOK |
| 2.2.2 EAT HOOK |
| 2.2.3 Inline HOOK |
| 2.3 内核模式下进程隐藏的 HOOK 技术 |
| 2.3.1 IDT HOOK 技术 |
| 2.3.2 SSDT HOOK 技术 |
| 2.4 直接内核对象控制(DKOM)隐藏进程技术 |
| 2.4.1 根据进程名隐藏进程 |
| 2.4.2 根据进程 ID 隐藏进程 |
| 2.5 HOOK 与 DKOM 技术的优点与不足 |
| 2.6 本章小结 |
| 第三章 隐藏进程检测关键技术的研究与实现 |
| 3.1 隐藏进程检测的技术 |
| 3.2 用户模式下的隐藏进程检测 |
| 3.3 基于内存扫描的 HOOK 检测 |
| 3.3.1 查找 SSDT 钩子 |
| 3.3.2 查找其它类型钩子 |
| 3.3.3 HOOK 检测方法的优缺点 |
| 3.4 基于进程链表的隐藏进程检测 |
| 3.4.1 枚举进程链表检测隐藏进程 |
| 3.4.2 进程链表检测优缺点 |
| 3.5 基于线程链表的隐藏进程检测 |
| 3.5.1 Windows 线程内核对象 |
| 3.5.2 线程链表检测 |
| 3.6 基于线程调度的隐藏进程检测 |
| 3.6.1 Windows 线程调度原理 |
| 3.6.2 钩挂 SwapContext 检测隐藏进程 |
| 3.7 远程线程注入与监控 |
| 3.7.1 DLL 注入 |
| 3.7.2 远程线程注入 DLL |
| 3.7.3 内核模式下监视远程线程创建 |
| 3.8 隐藏进程检测功能测试 |
| 3.8.1 IAT HOOK 测试 |
| 3.8.2 SSDT HOOK 测试 |
| 3.8.3 Inline HOOK 测试 |
| 3.8.4 驱动层 HOOK 测试 |
| 3.9 本章小结 |
| 第四章 进程行为检测和信息完整性保护技术研究 |
| 4.1 进程行为检测和信息完整性保护功能划分 |
| 4.1.1 总体工作流程 |
| 4.1.2 工作基础 |
| 4.2 检测子系统结构 |
| 4.2.1 常见恶意进程行为模型 |
| 4.2.2 关键动作定义 |
| 4.2.3 事实模板定义 |
| 4.2.4 系统中重要对象定义 |
| 4.2.5 进程映象全路径和命令行参数的获取 |
| 4.3 进程行为检测记录 |
| 4.3.1 内存操作 |
| 4.3.2 文件操作 |
| 4.3.3 进程和线程操作 |
| 4.4 保护还原方法研究 |
| 4.4.1 术语定义 |
| 4.4.2 还原子系统结构 |
| 4.4.3 完整性模型 |
| 4.5 保护还原记录策略 |
| 4.5.1 不可信进程行为记录策略 |
| 4.5.2 可信进程行为记录策略 |
| 4.5.3 判断操作对象是否可信 |
| 4.6 保护还原方法 |
| 4.6.1 访问列表数据的还原 |
| 4.6.2 对.rec 文件数据进行还原 |
| 4.6.3 不可信进程被识别为可信进程之后的操作 |
| 4.7 功能测试 |
| 4.7.1 测试已知恶意软件 |
| 4.7.2 测试未知恶意软件 |
| 4.7.3 实验结果分析 |
| 4.8 本章小结 |
| 第五章 基于双缓存透明加解密过滤驱动系统关键技术的研究与实现 |
| 5.1 系统结构 |
| 5.1.1 问题的提出 |
| 5.1.2 系统总体架构 |
| 5.2 双缓存机制 |
| 5.2.1 双缓存 |
| 5.2.2 双缓存机制管理 |
| 5.2.3 双缓存中密文处理流程 |
| 5.3 文件透明加解密过滤驱动的结构及流程 |
| 5.4 加解密文件信息的存储方法 |
| 5.4.1 加解密标识 |
| 5.4.2 加解密信息的存储方式 |
| 5.4.3 透明加解密文件信息的存储和转化 |
| 5.5 文件过滤驱动 |
| 5.5.1 过滤 IRP_MJ_CREATE 类型的 IRP 请求 |
| 5.5.2 过滤 IRP_MJ_READ 类型的 IRP 请求 |
| 5.5.3 过滤 IRP_MJ_WRITE 类型的 IRP 请求 |
| 5.6 IRP 的分组对齐 |
| 5.6.1 分组对齐算法 |
| 5.6.2 IRP 分组对齐的处理流程 |
| 5.7 应用程序与驱动程序之间的通信 |
| 5.8 加解密算法与进程-后缀访问控制 |
| 5.9 系统性能分析与测试 |
| 5.9.1 功能测试 |
| 5.9.2 性能测试 |
| 5.9.3 稳定性测试 |
| 5.10 本章小结 |
| 第六章 总结和展望 |
| 6.1 工作总结 |
| 6.2 下一步的工作展望 |
| 参考文献 |
| 发表论文和科研情况说明 |
| 附录 1 事实模板和类的定义 |
| 1.1 内存操作 |
| 1.2 文件操作 |
| 1.3 进程和线程操作 |
| 1.4 注册表操作 |
| 1.5 端口操作 |
| 1.6 其它操作 |
| 1.7 系统中重要对象类定义 |
| 附录 2 关键数据结构及函数 |
| 致谢 |
(8)补丁管理系统客户端技术的研究与实现(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 引言 |
| 1.1 课题研究背景及意义 |
| 1.2 国内外研究现状分析 |
| 1.3 补丁漏洞的概念以及补丁分类 |
| 1.4 课题研究的主要内容 |
| 1.5 论文的结构安排 |
| 第二章 本系统中创新以及相关技术原理的研究 |
| 2.1 本地补丁数据库的运用 |
| 2.1.1 补丁索引文件的介绍 |
| 2.1.2 XML的介绍 |
| 2.1.3 XML语法解析器 |
| 2.1.4 具体封装TinyXML和实现解析补丁索引文件方法 |
| 2.2 中间件技术的运用 |
| 2.2.1 为何使用中间件Web Service |
| 2.2.2 中间件WebService的协议介绍 |
| 2.2.3 具体实现中间件Web Service的技术方法 |
| 2.3 客户端P2P载技术的运用 |
| 2.3.1 P2P关键点和创新点介绍 |
| 2.3.2 客户端P2P技术的具体运用 |
| 2.4 独特的客户端补丁扫描技术 |
| 2.4.1 微软扫描补丁方式 |
| 2.4.2 客户端扫描方式 |
| 2.4.3 客户端扫描方式的具体实现 |
| 2.5 本章小结 |
| 第三章 系统总体设计 |
| 3.1 补丁管理系统总体介绍 |
| 3.2 补丁管理系统设计的优势 |
| 3.3 客户端系统功能需求 |
| 3.4 系统设计目标 |
| 3.5 本章小结 |
| 第四章 客户端模块的设计和实现 |
| 4.1 客户端初始化模块设计与实现 |
| 4.1.1 客户端环境参数管理 |
| 4.1.2 注册客户端 |
| 4.1.3 更新补丁索引文件 |
| 4.2 补丁扫描模块设计与实现 |
| 4.2.1 扫描已安装补丁 |
| 4.2.2 扫描未安装补丁 |
| 4.3 补丁下载安装模块设计和实现 |
| 4.3.1 补丁下载 |
| 4.3.2 补丁安装 |
| 4.4 补丁客户端和服务器同步模块设计和实现 |
| 4.5 实现期间的遇见的问题与解决办法 |
| 4.6 本章小结 |
| 第五章 系统运行测试 |
| 5.1 系统测试平台 |
| 5.2 客户端系统功能测试 |
| 5.2.1 客户端UI界面测试 |
| 5.2.2 客户端通信测试 |
| 5.2.3 客户端补丁扫描功能测试 |
| 5.2.4 客户端补丁下载功能测试 |
| 5.2.5 客户端补丁安装和忽略功能测试 |
| 5.2.6 客户端日志功能的测试 |
| 5.3 测试所遇见的bug以及处理办法 |
| 5.5 系统运行效果图 |
| 第六章 总结 |
| 6.1 全文总结 |
| 6.2 进一步工作 |
| 参考文献 |
| 致谢 |
| 研究生期间的研究成果 |
(9)木马攻击防范理论与技术研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 研究背景 |
| 1.2 研究现状 |
| 1.3 论文的主要研究工作及结构 |
| 第二章 特洛伊木马的基本原理及常用检测方法 |
| 2.1 木马基本知识 |
| 2.1.1 木马概念及产生 |
| 2.1.2 木马的工作原理 |
| 2.1.3 木马的功能 |
| 2.1.4 木马的分类 |
| 2.1.5 木马的特点 |
| 2.1.6 木马的反清除技术 |
| 2.2 木马的发展趋势 |
| 2.3 木马的检测和清除方法 |
| 2.4 木马的防范措施 |
| 2.4.1 用户系统防护 |
| 2.4.2 用户安全意识策略 |
| 第三章 行为分析技术在反木马中的应用 |
| 3.1 木马行为分析技术的应用原理 |
| 3.2 木马的行为特征 |
| 3.2.1 植入阶段 |
| 3.2.2 安装阶段 |
| 3.2.3 运行阶段 |
| 3.2.4 通信阶段 |
| 3.3 木马与合法程序的行为特征对比 |
| 3.4 木马行为分析的优缺点 |
| 3.5 木马行为分析的实现技术 |
| 3.5.1 Windows API HOOK 原理 |
| 3.5.2 注入技术分析 |
| 3.5.3 API 拦截技术分析 |
| 3.6 误报与漏报分析 |
| 3.6.1 某主动防御软件应用于木马判定的实验 |
| 3.6.2 误报和漏报原因及对策 |
| 第四章 决策树算法在木马行为特征分析中的应用 |
| 4.1 问题的归类与算法的比较 |
| 4.2 决策树分类算法分析 |
| 4.2.1 决策树分类方法概述 |
| 4.2.2 决策树算法思想及具体算法选择 |
| 4.2.3 C4.5 算法原理 |
| 4.3 基于木马行为特征的决策树检测模型 |
| 4.3.1 属性选择 |
| 4.3.2 数据准备 |
| 4.3.3 基于属性信息增益率创建决策树 |
| 4.4 模型测试及不足 |
| 第五章 一种新型的基于决策树算法的反木马策略 |
| 5.1 相关的API 函数 |
| 5.2 DETOURS 拦截API 的原理 |
| 5.2.1 拦截二进制函数 |
| 5.2.2 编辑DLL 导入表 |
| 5.3 策略的实施过程 |
| 5.3.1 注射器模块 |
| 5.3.2 行为分析模块 |
| 5.4 本策略的优点和不足 |
| 第六章 总结与展望 |
| 6.1 课题研究总结 |
| 6.2 课题研究展望 |
| 参考文献 |
| 致谢 |
| 攻读硕士学位期间发表的论文 |
(10)基于操作虚拟化及时序逻辑的恶意代码分析(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第1章 绪论 |
| 1.1 研究背景 |
| 1.2 问题描述 |
| 1.3 本文工作 |
| 1.4 组织结构 |
| 第2章 相关工作 |
| 2.1 恶意代码基本概念及攻击原理 |
| 2.1.1 恶意代码基本概念 |
| 2.1.2 恶意代码攻击原理 |
| 2.2 恶意代码分析技术 |
| 2.2.1 静态分析方法 |
| 2.2.2 动态分析方法 |
| 2.3 本章小结 |
| 第3章 基于操作虚拟化的恶意代码监测 |
| 3.1 内核级代码操作监控技术 |
| 3.1.1 API函数挂钩 |
| 3.1.2 内核中监控Native API调用 |
| 3.1.3 内核级代码操作监控器 |
| 3.2 基于操作虚拟化的系统状态回滚 |
| 3.2.1 操作虚拟化方法的原理 |
| 3.2.2 基于操作虚拟化的系统状态回滚实现 |
| 3.2.3 方法分析 |
| 3.3 本章小结 |
| 第4章 基于时序逻辑的恶意代码行为分析 |
| 4.1 理论基础 |
| 4.2 基于一阶谓词时序逻辑的恶意行为形式化描述 |
| 4.3 恶意行为判定 |
| 4.3.1 算法描述 |
| 4.3.2 算法分析 |
| 4.3.3 实例说明 |
| 4.4 方法分析 |
| 4.5 本章小结 |
| 第5章 恶意代码行为分析系统OV_MAS |
| 5.1 系统需求及框架 |
| 5.2 系统详细设计与实现 |
| 5.3 系统评测与实验分析 |
| 5.3.1 测试环境 |
| 5.3.2 性能测试 |
| 5.3.3 实验分析 |
| 5.4 本章小结 |
| 第6章 总结与展望 |
| 6.1 全文总结 |
| 6.2 未来工作 |
| 参考文献 |
| 致谢 |
| 攻读学位期间参与的科研项目 |
| 学位论文评阅及答辩情况表 |
四、调用Windows API函数实现自动修复注册表中IE项的值(论文参考文献)
- [1]基于文本神经网络的恶意代码功能分类研究与应用[D]. 黎星宇. 四川大学, 2021(02)
- [2]恶意程序动态行为分析关键技术研究[D]. 王乐乐. 战略支援部队信息工程大学, 2020(12)
- [3]恶意软件信息抽取与知识图谱展示系统的构建与实现[D]. 温岩松. 北京邮电大学, 2020(04)
- [4]软件供应链污染检测技术研究[D]. 武振华. 战略支援部队信息工程大学, 2019
- [5]恶意代码脱壳及同源判定技术研究[D]. 蒋永康. 上海交通大学, 2019(06)
- [6]基于深度学习的勒索软件检测方法[D]. 项子豪. 上海交通大学, 2018(01)
- [7]操作系统安全加固中进程与文件保护关键技术的研究[D]. 王全民. 天津大学, 2012(06)
- [8]补丁管理系统客户端技术的研究与实现[D]. 王伟. 四川师范大学, 2012(02)
- [9]木马攻击防范理论与技术研究[D]. 杨恩镇. 山东师范大学, 2011(08)
- [10]基于操作虚拟化及时序逻辑的恶意代码分析[D]. 范荣荣. 山东大学, 2011(04)