恶意代码分析.doc

恶意代码分析.doc:..恶意代码分析组长:孔玲霞组员:成维滨、付志艳、高正安、郭丹丹沈海娇、张丹、徐延朝、张雅雯张蕊、张松摘要恶意代码目前在全球范围内广泛传播,给广大用户带来了诸多不便,所以恶意代码的研究势在必行。本文以伯特利大学的BitBlase项冃为着手点,从静动态两个方面进行研究,并深入了解了静态分析可执行文件的模型、木马的挂钩行为以及动态分析程序行为的重要性。为了更好的从静动态研究恶意代码,w,并给出了配置过程及测试步骤。,,清晰地了解恶意代码的感染过程。关键词:emu静态动态目录一、 恶意代码简介 4二、 静态分析 41• Vine简介 5三、 动态分析 7四、 相关文章简介 81.《BitBlaze:puterSecurityviaBinaryAnalysis》 82.《StaticAnalysisofExecutablestoDetectMaliciousPatterns》 93.《HookFinder:IdentifyingandUnderstandingMalwareHooking Behaviors》 94.《LearningProgramBehaviorProfilesforIntrusionDetection》 9五、 总结 10六、 参考文献: 13恶意代码简介恶意代码(Maliciouscode)是川來实现某些恶意功能的代码或程序,它通过把代码在不被察觉的情况下镶嵌到另一段程序中,从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性。现在比较流行的网络恶意代码主要包括计算机病毒,网络蠕虫和木马。计算机病毒是指将自身附在程序上,并向其他程序中传播自身的副木,需要用户T预来触发执行的破坏性程序或代码。而网络蠕虫是一组能够进行自我传播,不需要川户干预即可触发执行的破坏性那个程序和代码,其可通过不断搜索和侵入具有漏洞的主机来自动传播,比如红色代码,SQL蠕虫王等等。木马则是一类看起来具有正常功能,但实际上藏匿了很多川户不希望功能的程序,通常由控制和被控制端组成。同时,恶意代码的传播方式也在迅速地演化,从引导区传播,到某种类型文件传播,到宏病毒传播,到邮件传播,到网络传播,发作和流行的时间越來越短。Fomi引导区病毒1989年出现,用了一年的时间流行起來,宏病毒ConceptMacro1995年出现,川了三个月的时I'可流行,LoveLetter)IJT人约一天,而CodeRedJIJ了人约90分钟,:在恶意代码演化的每个步骤,病毒和蠕虫从发布到流行的时间都越来越短。我们的计算机面临的考验越来越多。就1=1前来讲,恶意代码的传播趋势主要在丁:模糊了蠕虫和病毒以及木马的区别,采用混合传播模式,多平台攻击,模糊服务器和客户机的区别,使他们都遭到攻击,另外一个趋势是更多的恶意代码使川销售技术,其目的不仅在于利川受害者的邮箱实现最大数量的转发,更重耍的是引起受害者的兴趣,让受害者进一步对恶意文件进行操作,并且使用网络探测、电子邮件脚本嵌入和其它不使用附件的技术來达到口己的H的。因此,在面对恶意代码对我们的计算机进行恶意篡改时,除了简单修改注册表等方法外,更值得研究的是学会自己分析恶意代码,以便从更大的层血保护我们的计算机,同时更节省“乱投医”的时间。本文档将对恶意代码及其分析环境进行简单介绍,以供参考。,为汇编提供了一种中间语言ILA以及分析用这种语言编写的程序的平台。ILA是一种完善的语言,可以编写,可以做类型检查,还可以编译汇编。Vine还提供了对ILA语言的分析,例如比较抽象的解释,相关性的分析,通过理论阐明的结果进行逻辑分析。。。该示例是跟踪一个从键盘输入的简旳程序的运行路径,并生成先决条件是程序的控制流路径最弱的STP文件,换句话说,,但生成的文件包含在示例的目录下,所以你可以尝试不使用TEMU的工具。:切换成wot用户sudo-s准备安装C++编辑器apt-getinsta