惡意代碼通過多種手段在計算機系統(tǒng)和網(wǎng)絡中迅速傳播，對信息安全產(chǎn)生嚴重影響。近幾年，計算機病毒、蠕蟲和木馬等惡意代碼在技術(shù)上逐步趨向交叉和融合，其攻擊力、破壞力和生存能力都顯著增強，這給惡意代碼的檢測、防御和清除工作帶來嚴峻挑戰(zhàn)。因此，研究惡意代碼的檢測技術(shù)對其防治工作具有重要的現(xiàn)實意義。本文針對傳統(tǒng)沙箱在用戶空間中對系統(tǒng)API函數(shù)調(diào)用進行監(jiān)控，很容易被惡意代碼繞過，并且，基于虛擬機和仿真環(huán)境的檢測方法過多的消耗系統(tǒng)資源，且容易被惡意代碼的防御檢測機制發(fā)現(xiàn)的缺點，使用內(nèi)核級的API Hook技術(shù)，對惡意代碼的系統(tǒng)API函數(shù)調(diào)用進行更底層的監(jiān)控和攔截，對惡意行為進行內(nèi)核級的監(jiān)控；使用基于操作系統(tǒng)級系統(tǒng)調(diào)用接口資源的重命名機制，對惡意代碼請求的系統(tǒng)資源進行重定向，使其操作重定向以后的系統(tǒng)資源，或者對該系統(tǒng)調(diào)用操作進行虛擬化，從而，實現(xiàn)了一個真實且隔離的惡意代碼執(zhí)行環(huán)境。并且，沙箱可以盡可能多的共享操作系統(tǒng)資源，使用只對惡意行為進行監(jiān)控，對非惡意行為放行的策略，滿足了構(gòu)建高性能沙箱的要求，并保證了惡意代碼在沙箱中能夠完整執(zhí)行，實現(xiàn)了檢測過程的有效性和完整性。本文主要針對Windows操作系統(tǒng)的... 

【文章來源】：哈爾濱工程大學黑龍江省 211工程院校

【文章頁數(shù)】：68 頁

【學位級別】：碩士

【部分圖文】：

AHVE沙箱運行界面截圖

沙箱系統(tǒng)的部署環(huán)境網(wǎng)絡主機個人電腦容器互聯(lián)網(wǎng)

在仿真實驗中，根據(jù)檢測行為的 5 個種類，定義了 5 個行為檢測有效性公文件監(jiān)控有效性公式：( )( )( )×100%filefilefileSPR 注冊表監(jiān)控有效性公式：( )( )( )×100%regeditregeditregeditSPR 網(wǎng)絡監(jiān)控有效性公式：( )( )( )×100%networknetworknetworkSPR 進程/線程監(jiān)控有效性公式：( & )( & )( & )×100%proc thrproc thrproc thrSPR 內(nèi)核模塊加載監(jiān)控有效性公式：( )( )( )×100%corecorecoreSPR 使用以上行為檢測有效性計算公式，對表 5.1 中每款沙箱檢測到的行為數(shù)據(jù)，得出有效性的百分比數(shù)據(jù)，畫出行為有效性的對比折線示意圖，如圖 5.3 所


本文編號：2990857