计算机工程与应用
計算機工程與應用
계산궤공정여응용
COMPUTER ENGINEERING AND APPLICATIONS
2011年
10期
71-74
,共4页
虚拟机%自修改代码%恶意程序
虛擬機%自脩改代碼%噁意程序
허의궤%자수개대마%악의정서
自修改代码技术是恶意程序用以防止反汇编静态分析的最常见技术.传统操作系统的恶意代码防范技术不能有效监测和防止自修改恶意代码的执行和传播.介绍了一个基于虚拟机架构对自修改代码进行监测和监控的方法CASMonitor,能够从虚拟机外部动态、透明地监控虚拟机内部指定程序的执行过程,监测代码的自修改行为,解析新生成代码的入口点,进而提供病毒扫描等功能.x86/Win32虚拟机架构下的实验表明,该技术能够处理多种自修改代码行为以及常见的加壳工具.
自脩改代碼技術是噁意程序用以防止反彙編靜態分析的最常見技術.傳統操作繫統的噁意代碼防範技術不能有效鑑測和防止自脩改噁意代碼的執行和傳播.介紹瞭一箇基于虛擬機架構對自脩改代碼進行鑑測和鑑控的方法CASMonitor,能夠從虛擬機外部動態、透明地鑑控虛擬機內部指定程序的執行過程,鑑測代碼的自脩改行為,解析新生成代碼的入口點,進而提供病毒掃描等功能.x86/Win32虛擬機架構下的實驗錶明,該技術能夠處理多種自脩改代碼行為以及常見的加殼工具.
자수개대마기술시악의정서용이방지반회편정태분석적최상견기술.전통조작계통적악의대마방범기술불능유효감측화방지자수개악의대마적집행화전파.개소료일개기우허의궤가구대자수개대마진행감측화감공적방법CASMonitor,능구종허의궤외부동태、투명지감공허의궤내부지정정서적집행과정,감측대마적자수개행위,해석신생성대마적입구점,진이제공병독소묘등공능.x86/Win32허의궤가구하적실험표명,해기술능구처리다충자수개대마행위이급상견적가각공구.