基于文件解析的文件感染方法研究.pdf

1、由于計算機網(wǎng)絡的脆弱性和互聯(lián)網(wǎng)的開放性，計算機病毒已成為當前計算機和網(wǎng)絡安全的最大隱患，而感染系統(tǒng)文件又是病毒侵入系統(tǒng)的主要方式。研究新的文件感染技術一方面可以了解文件感染型病毒的工作原理，催生新的反病毒技術，另一方面還可以完善監(jiān)控軟件的監(jiān)控功能，加固主機的防御，具有很高的實用價值。
　　 圍繞文件感染技術的應用環(huán)境，分析了NTFS（New Technology File System）文件系統(tǒng)和FAT32（File Alloc

2、ation Table）文件系統(tǒng)，分析了幾種常見的PE（PortableExecutable）文件感染方法，闡述了這些方法存在的不足和現(xiàn)有文件保護技術存在的缺陷，在此基礎上提出了一種能增強文件感染有效性的文件解析過程。
　　 基于文件解析的過程，設計了一個文件感染系統(tǒng)，給出了系統(tǒng)的總體架構和功能模塊的劃分。系統(tǒng)由初始化、NTFS解析、FAT32解析和文件感染四個功能模塊組成。初始化模塊主要用于系統(tǒng)運行環(huán)境的建立以及目標文件基本信

3、息的獲?。籒TFS解析模塊主要用于NTFS分區(qū)中的目標文件數(shù)據(jù)信息的獲取以及文件數(shù)據(jù)的寫回；FAT32解析模塊主要用于FAT32分區(qū)中的目標文件數(shù)據(jù)信息的獲取以及文件數(shù)據(jù)的寫回；文件感染模塊主要用于內存中PE文件的改寫以及程序控制權的獲取。
　　 為了驗證所給文件感染系統(tǒng)的感染效果，選擇了三個文件保護軟件：微點主動防御、卡巴斯基和360安全衛(wèi)士，并建立了實驗環(huán)境，對所給文件感染系統(tǒng)和常用文件感染方法進行了實驗比較。