在信息安全領(lǐng)域,Rootkit技術(shù)扮演著相當(dāng)重要的角色。在常見的木馬病毒等手段對目標(biāo)機(jī)器的攻擊中,常常采用Rootkit技術(shù)隱藏自身的文件、進(jìn)程以及網(wǎng)絡(luò)連接等信息來達(dá)到長期潛伏于目標(biāo)系統(tǒng)中的目的,以此來對抗目標(biāo)主機(jī)入侵檢測系統(tǒng)的檢測,這將會對計算機(jī)用戶產(chǎn)生巨大的威脅。如果想更好的防范此類針對目標(biāo)主機(jī)的入侵行為,則有必要對Rootkit惡意行為的檢測技術(shù)展開深入的研究。本文主要致力于Rootkit惡意行為的分析與檢測技術(shù)的研究。傳統(tǒng)的靜態(tài)分析技術(shù)對惡意樣本進(jìn)行反匯編,從而獲取樣本的靜態(tài)特征。但是對于使用混淆技術(shù)的惡意樣本,傳統(tǒng)的靜態(tài)分析方法很難達(dá)到預(yù)期,導(dǎo)致獲取惡意樣本的靜態(tài)特征成本過高。因此本文采用將惡意代碼映射成灰度圖像的方式,通過識別圖像紋理從而來克服上面的問題。但由于傳統(tǒng)的圖像紋理分析方法對Rootkit惡意代碼生成的灰度圖像中紋理特征提取效果不好,因此本文提出利用深度學(xué)習(xí)對Rootkit映射生成的灰度圖片進(jìn)行紋理分析。深度學(xué)習(xí)在圖像識別方面的性能優(yōu)于許多其他分類器。本文對捕獲的五類Rootkit程序和自體程序進(jìn)行分類,實驗結(jié)果取得了 97.2%的檢測率、9.4%的誤報率和92.... 

【文章來源】：沈陽理工大學(xué)遼寧省

【文章頁數(shù)】：69 頁

【學(xué)位級別】：碩士

【部分圖文】：

圖２．３處理器借助ＩＤＴ調(diào)用中斷例程的流程??Ｆｉｇ．２．３?Ｐｒｏｃｅｓｓｏｒｓ?ｐｒｏｃｅｓｓ?ｏｆ?ｃａｌｌｉｎｇ?ｉｎｔｅｒｒｕｐｔ?ｒｏｕｔｉｎｅｓ?ｗｉｔｈ?ＩＤＴ??

在ＩＡ－３２體系里，處理器在中斷出現(xiàn)的時候所需要處理的中斷例程是位于中段??描述符表ＩＤＴ里面［９］。ＩＤＴ的作用就是把中斷或者異常跟要處理這個中斷或者異常??的服務(wù)例程聯(lián)系起來。處理器調(diào)用中斷的大致流程如圖２．３所示。??ＩＤＴ?丨；Ｉ標(biāo)代碼段????偏移?／ＴＮ??－??屮泡ｉｆ】／陷阱?＞?中斷例柷???＞???—段選擇器???ＧＤＴＡＤＴ?址??￣￣？?段描還符￣???圖２．３處理器借助ＩＤＴ調(diào)用中斷例程的流程??Ｆｉｇ．２．３?Ｐｒｏｃｅｓｓｏｒｓ?ｐｒｏｃｅｓｓ?ｏｆ?ｃａｌｌｉｎｇ?ｉｎｔｅｒｒｕｐｔ?ｒｏｕｔｉｎｅｓ?ｗｉｔｈ?ＩＤＴ??所以，對上述的內(nèi)容進(jìn)行深刻地理解可以得出，ＩＤＴ?Ｈｏｏｋ的實質(zhì)就是把ＩＤＴ??表中的描述符里的所包含的偏移地址的指向變更為預(yù)先設(shè)定好的Ｒｏｏｔｋｉｔ例程。??（２）映像修改??映像修改是指對于目標(biāo)程序文件本身的二進(jìn)制代碼進(jìn)行修改。常見的實現(xiàn)方??法有兩類：Ｄｅｔｏｕｒｓ和內(nèi)聯(lián)函數(shù)鉤子。??Ｄｅｔｕｏｒｓ方式實際上就是鉤掛整個函數(shù)。正常調(diào)用的流程圖如圖２．４所示。?????Ｖ??Ｓｏｕｒｃｅ?Ｔａｒｇｅｔ??Ｆｕｎｃｔｉｏｎ?Ｆｕｎｃｔｉｏｎ??圖２．?４正常調(diào)用流程??Ｆｉｇ．２．４?Ｎｏｒｍａｌ?ｃａｌｌ?ｆｌｏｗ??－１３－??

２：?Ｉｎ?＝?ｏｓ．ｐａｔｈ．ｇｅｔｓｉｚｅ（ｔｘｘ．ｂｙｔｅ，）＃ｇｅｔ?ｌｅｎｇｔｈ??３：?ｗｉｄｔｈ?＝?ｉｎｔ（ｌｎ＊＊０．５）??４：?ｒｃｍ?＝?ｌｎ％ｗｉｄｔｈ??５：?ａ?＝?ａｒｒａｙ．ａｒｒａｙＣＢＯ＾ｉｎｔＳ?ａｒｒａｙ??６：?ａ．ｆｒｏｍｆｉｌｅ（ｆ，ｌｎ－ｒｅｍ）??７：?ｆ．ｃｌｏｓｅ（）??８：?ｇ?＝?ｎｐ．ｒｅｓｈａｐｅ（ａ，（ｌｅｎ（ａ）／ｗｉｄｔｈ，ｗｉｄｔｈ））??９：?ｇ?＝?ｎｐ．ｕｉｎｔ８（ｇ）??１０：?ｍｉｓｃ．ｉｍｓａｖｅ（’ｘｘ．ｐｎｇ’，ｇ）??３．２惡意代碼的圖像紋理分析架構(gòu)??３．２．１惡意代碼的可視化架構(gòu)部署??ＩＤＡ?Ｐｒｏ［１１］，是目前性能極佳的一個靜態(tài)反編譯軟件，特有的ＩＤＡ視圖和交??叉引用，可以方便理解程序邏輯和快速定位代碼片斷，以方便修改，成為許多和??ＳｈｅｌｌＣｏｄｅ安全分析人士不可或缺的利器，更成為Ｏｄａｙ世界的成員的最愛ＩＤＡＰｒｏ??是一款交互式的，可編程的，可擴(kuò)展的，多處理器的，交叉Ｗｉｎｄｏｗｓ或Ｌｉｎｕｘ?ＷｉｎＣＥ??ＭａｃＯＳ平臺主機(jī)來分析程序。??


本文編號：3322883