反病毒技術的探討
頁數 49 字數 39582
摘 要
反計算機病毒做為計算機安全問題的一個重要組成部分已日益受到人們的重視。本文將對當今先進的病毒/反病毒技術做全面而細致的介紹，重點當然放在了反病毒上，特別是虛擬機和實時監(jiān)控技術。
在論文中我將首先介紹幾種當今較為流行的病毒技術，包括獲取系統(tǒng)核心態(tài)特權級，駐留，截獲系統(tǒng)操作，變形和加密等。然后我將分五節(jié)詳細討論虛擬機技術：第一節(jié)簡單介紹一下虛擬機的概論；第二節(jié)介紹加密變形病毒，我會分析兩個著名變形病毒的解密子；第三節(jié)是虛擬機實現技術詳解，其中會對兩種不同方案進行比較，同時將剖析一個查毒用虛擬機的總體控制結構；第四節(jié)主要是對特定指令處理函數的分析；最后在第五節(jié)中我列出了一些反虛擬執(zhí)行技術做為今后改進的參照。論文的第三章主要介紹實時監(jiān)控技術，由于win9x和winnt/2000系統(tǒng)機制和驅動模型不同，所以我將會分成兩個操作系統(tǒng)進行討論。其中涉及的技術很廣泛：包括驅動編程技術，文件鉤掛，特權級間通信等等。
總之，本論文介紹的技術涉及操作系統(tǒng)底層機制，難度較大；本論文提供的代碼，包括一個虛擬機C語言源代碼和兩個病毒實時監(jiān)控驅動程序反匯編代碼，具有一定的研究和實用價值。

關鍵字：病毒,虛擬機,實時監(jiān)控


目 錄
1．緒 論………………………………………………………….1
1. 1課題背景………………………………………………………………1
1.2當今病毒技術的發(fā)展狀況……………………………………………2
1.2.1系統(tǒng)核心態(tài)病毒……………………………………………………2
1.2.2駐留病毒……………………………………………………………4
1.2.3截獲系統(tǒng)操作………………………………………………………5
1.2.4加密變形病毒………………………………………………………7
1.2.5反跟蹤/反虛擬執(zhí)行病毒………………………………………….7
1.2.6直接API調用………………………………………………………7
1.2.7病毒隱藏…………………………………………………………..9
1.2.8病毒特殊感染法…………………………………………………..9
2．虛擬機查毒………………………………………………….11
2.1虛擬機概論…………………………………………………………. 11
2. 2加密變形病毒……………………………………………………….12
2.3虛擬機實現技術詳解……………………………………………….15
2.4虛擬機代碼剖析……………………………………………………..21
2.4.1不依賴標志寄存器指令模擬函數的分析……………………….21
2.4.2依賴標志寄存器指令模擬函數的分析………………………….22
2.5反虛擬機技術…………………………………………………………23
3．病毒實時監(jiān)控………………………………………………25
3.1實時監(jiān)控概論……………………………………………………….25
3.2病毒實時監(jiān)控實現技術概論……………………………………….25
3.3WIN9X下的病毒實時監(jiān)控…………………………………………..27
3.3.1實現技術詳解………………………………………………….27
3.3.2程序結構與流程……………………………………………….30
3.3.3HOOKSYS.VXD逆向工程代碼剖析……………………………..32
3.3.3.1鉤子函數入口代碼…………………………………………….33
3.3.3.2取得當前進程名稱代碼……………………………………….34
3.3.3.3通信部分代碼………………………………………………….35
3.4WINNT/2000下的病毒實時監(jiān)控…………………………………….36
3.4.1實現技術詳解………………………………………………….36
3.4.2程序結構與流程……………………………………………….42
3.4.3HOOKSYS.SYS逆向工程代碼剖析……………………………..44
3.4.3.1取得當前進程名稱代碼……………………………………….44
3.4.3.2啟動鉤子函數工作代碼……………………………………….45
3.4.3.3映射系統(tǒng)內存至用戶空間代碼……………………………….45
結論……………………………………………………………..47
致謝……………………………………………………………..48
主要參考文獻…………………………………………………..49

主要參考文獻
【1】David A. Solomon, Mark Russinovich 《Inside Microsoft Windows 2000》
September 2000
【2】David A. Solomon 《Inside Windows NT》 May 1998
【3】Prasad Dabak，Sandeep Phadke，Milind Borate 《Undocumented Windows NT》
October 1999
【4】Matt Pietrek 《Windows 95 System Programming Secrets》 March 1996
【5】Walter Oney 《System Programming for Windows 95》 March 1996