本文将对当今先进的病毒/反病毒技术做全面而细致的介绍,重点当然放在了反病毒上,特别是虚拟机和实时监控技术。文中首先介绍几种当今较为流行的病毒技术,包括获取系统核心态特权级,驻留,截获系统操作,变形和加密等。然后分五节详细讨论虚拟机技术:第一节简单介绍一下虚拟机的概论;第二节介绍加密变形病毒,作者会分析两个著名变形病毒的解密子;第三节是虚拟机实现技术详解,其中会对两种不同方案进行比较,同时将剖析一个查毒用虚拟机的总体控制结构;第四节主要是对特定指令处理函数的分析;最后在第五节中列出了一些反虚拟执行技术做为今后改进的参照。论文的第三章主要介绍实时监控技术,由于win9x和winnt/2000系统机制和驱动模型不同,所以会分成两个操作系统进行讨论。其中涉及的技术很广泛:包括驱动编程技术,文件钩挂,特权级间通信等等。本文介绍的技术涉及操作系统底层机制,难度较大。所提供的代码,包括一个虚拟机C语言源代码和两个病毒实时监控驱动程序反汇编代码,具有一定的研究和实用价值。
关键字:病毒,虚拟机,实时监控
目录
1.绪 论
1. 1课题背景
1.2当今病毒技术的发展状况
1.2.1系统核心态病毒
1.2.2驻留病毒
1.2.3截获系统操作
1.2.4加密变形病毒
1.2.5反跟踪/反虚拟执行病毒
1.2.6直接API调用
1.2.7病毒隐藏
1.2.8病毒特殊感染法
2.虚拟机查毒
2.1虚拟机概论
2. 2加密变形病毒
2.3虚拟机实现技术详解
2.4虚拟机代码剖析
2.4.1不依赖标志寄存器指令模拟函数的分析
2.4.2依赖标志寄存器指令模拟函数的分析
2.5反虚拟机技术
3.病毒实时监控
3.1实时监控概论
3.2病毒实时监控实现技术概论
3.3WIN9X下的病毒实时监控
3.3.1实现技术详解
3.3.2程序结构与流程
3.3.3HOOKSYS.VXD逆向工程代码剖析
3.4WINNT/2000下的病毒实时监控
3.4.1实现技术详解
3.4.2程序结构与流程
3.4.3HOOKSYS.SYS逆向工程代码剖析
结论
致谢
主要参考文献