恶意代码分析与检测_第1页
恶意代码分析与检测_第2页
恶意代码分析与检测_第3页
恶意代码分析与检测_第4页
恶意代码分析与检测_第5页
已阅读5页,还剩12页未读 继续免费阅读

付费下载

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

恶意代码分析与检测主讲人:信安二班张沛然1,背景及现状2,分析与检测的方法3,分析与检测常用工具4,分析与检测发展方向主要内容背景及现状

互联网的开放性给人们带来了便利,也加快了恶意代码的传播,特别是人们可以直接从网站获得恶意代码源码或通过网络交流代码。因此很多编程爱好者把自己编写的恶意代码放在网上公开讨论,发布自己的研究成果,直接推动了恶意代码编写技术发展。所以目前网上流行的恶意代码及其变种层出不穷,攻击特点多样化。分析与检测方法

分为静态分析法与动态分析法两种

静:是指在不执行二进制程序的条件下进行分析,如反汇编分析,源代码分析,二进制统计分析,反编译等等,属于逆向工程分析法

动:是指恶意代码执行的情况下利用程序调情况下,利用程序调试工具对恶意代码实时跟踪和观察,确定恶意代码的工作过程,对静结果进行验证静态分析法

分析是指分析人员借助调试器来对恶意代码样本进行反汇编,从反汇编出来的程序清单上根据汇编指令码和提示信息着手分析

分析

在拥有二进制程序的源代码的前提下,通过分析源代码来理解程序的功能,流程,逻辑判定以及程序的企图等。

反编译分析

是指经过优化的机器代码恢复到源代码形式,再对源代码进行程序执行流程的分析动态分析法

系统调用行为分析方法

正常行为分析常被应用于异常检测之中,是对程序的正常行为轮廓进行分析和表示,为程序建立一个安全行为库,当被检测程序的实际行为与安全行为库的正常行为不一致或者存在差异时,即认为该程序中有一个异常行为,存在潜在的恶意性

恶意行为分析常被误用检测所采用,是通过对恶意程序的危害行为或攻击行为进行分析,从中抽取程序的恶意行为特征,以此来表示程序的恶意性动态分析法

二:启发式扫描技术

是为了弥补被广泛应用的特征码扫面技术的局限性而提出来的,其中,启发式是指自我发现能力或运用某种方式或方法去判定事物的知识和技能检测方法

基于主机的恶意代码检测

这种方式目前仍然被许多的反病毒软件,恶意代码查杀软件所采用。基于网络的恶意代码检测采用数据挖掘和异常检测技术对海量的数据进行求精和关联分析以检测恶意代码是否具有恶意性我基于主机检测技术,特征码的检测技术1启发法这种方法的思想是为病毒的特征设定一个阈值,当扫描器分析文件时,当文件的总权值超出了设定值就将其看作是恶意代码设定值,就将其看作恶意代码2行为法利用病毒的特有行为特征来监测病毒的方法,称为行为监测法基于主机检测技术

完整性控制

计算保留特征码,在遇到可以操作时进行比较,根据比较结果做出判断

权限控制

通过权限控制来防御恶意代码的技术比较典型的有,沙箱技术和安全操作系统箱技术

虚拟机检测是一种新的恶意代码检查手段,主要指对使用代码变形技术的恶意代码,现在广泛应用在商用反恶意软件上基于网络检测技术

通过异常检测可发现网络内主机可能感染恶意代码

人人文库> 全部分类> 教育资料 > 课件下载

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论