基于代码迷惑的软件保护及恶意代码检测技术研究
| 摘要 | 第3-5页 |
| Abstract | 第5-7页 |
| 1 绪论 | 第13-30页 |
| 1.1 研究背景与意义 | 第13-14页 |
| 1.2 国内外研究现状 | 第14-23页 |
| 1.2.1 代码迷惑算法的研究现状 | 第14-18页 |
| 1.2.2 代码迷惑理论的研究现状 | 第18-20页 |
| 1.2.3 恶意代码检测的研究现状 | 第20-23页 |
| 1.3 目前研究存在的主要问题 | 第23-24页 |
| 1.4 研究目标、内容和拟解决的关键问题 | 第24-25页 |
| 1.4.1 研究目标 | 第24页 |
| 1.4.2 研究内容 | 第24-25页 |
| 1.4.3 拟解决的关键问题 | 第25页 |
| 1.5 研究方法、技术路线和创新点 | 第25-29页 |
| 1.5.1 研究方法 | 第25-26页 |
| 1.5.2 技术路线 | 第26-28页 |
| 1.5.3 创新点 | 第28-29页 |
| 1.6 论文组织 | 第29-30页 |
| 2 代码迷惑及恶意代码检测理论 | 第30-47页 |
| 2.1 代码迷惑定义及评估 | 第30-31页 |
| 2.2 控制流迷惑 | 第31-36页 |
| 2.2.1 模糊谓词 | 第31-33页 |
| 2.2.2 计算变换 | 第33-34页 |
| 2.2.3 聚集变换 | 第34-36页 |
| 2.3 数据迷惑 | 第36-38页 |
| 2.3.1 改变编码 | 第36页 |
| 2.3.2 分割变量 | 第36-37页 |
| 2.3.3 合并标量变量 | 第37页 |
| 2.3.4 重组数组 | 第37-38页 |
| 2.4 迷惑算法 | 第38-41页 |
| 2.5 编译器优化 | 第41页 |
| 2.6 恶意代码检测 | 第41-46页 |
| 2.6.1 恶意代码检测过程 | 第41-42页 |
| 2.6.2 恶意代码检测方法 | 第42-43页 |
| 2.6.3 恶意代码迷惑变换 | 第43页 |
| 2.6.4 特征提取算法 | 第43-46页 |
| 2.7 本章小结 | 第46-47页 |
| 3 基于数据求精的矩阵迷惑 | 第47-61页 |
| 3.1 引言 | 第47页 |
| 3.2 数据类型的表示 | 第47-48页 |
| 3.3 基于数据求精的迷惑 | 第48-50页 |
| 3.4 分割矩阵 | 第50-55页 |
| 3.4.1 矩阵 | 第50-51页 |
| 3.4.2 矩阵分割方法 | 第51-52页 |
| 3.4.3 实例说明 | 第52-55页 |
| 3.5 利用矩阵迷惑纯量 | 第55-58页 |
| 3.5.1 基本定义 | 第55-56页 |
| 3.5.2 算术操作 | 第56-58页 |
| 3.5.3 实例说明 | 第58页 |
| 3.6 迷惑的扩展 | 第58-59页 |
| 3.7 技术评估 | 第59页 |
| 3.8 本章小结 | 第59-61页 |
| 4 基于询问约束和扰动的数据迷惑及随机保护 | 第61-81页 |
| 4.1 引言 | 第61-62页 |
| 4.2 数据的随机保护 | 第62-63页 |
| 4.3 询问的准确回答 | 第63-70页 |
| 4.3.1 线性询问 | 第63-65页 |
| 4.3.2 近似解 | 第65-68页 |
| 4.3.3 非线性询问的线性组合 | 第68-70页 |
| 4.4 数据的一致扰动 | 第70-73页 |
| 4.4.1 线性询问的一致扰动 | 第71-72页 |
| 4.4.2 非线性询问和分类数据 | 第72-73页 |
| 4.4.3 随机区间保护 | 第73页 |
| 4.5 附加的准确回答 | 第73-74页 |
| 4.6 实验分析 | 第74-78页 |
| 4.6.1 准确回答分析 | 第74-77页 |
| 4.6.2 扰动回答分析 | 第77-78页 |
| 4.7 实例说明 | 第78-79页 |
| 4.8 本章小结 | 第79-81页 |
| 5 基于控制流隐藏的代码迷惑 | 第81-99页 |
| 5.1 引言 | 第81页 |
| 5.2 隐藏控制流模型 | 第81-87页 |
| 5.2.1 控制流图压平 | 第81-83页 |
| 5.2.2 加强的CFG压平 | 第83-87页 |
| 5.3 应用模型 | 第87-89页 |
| 5.3.1 秘密密钥 | 第88页 |
| 5.3.2 隐秘函数 | 第88-89页 |
| 5.3.3 独立应用模型 | 第89页 |
| 5.4 攻击方案 | 第89-91页 |
| 5.4.1 强力攻击 | 第89-90页 |
| 5.4.2 攻击转移函数 | 第90页 |
| 5.4.3 攻击分支函数 | 第90-91页 |
| 5.5 防静态和动态逆向工程的迷惑方法 | 第91-98页 |
| 5.5.1 防静态逆向工程 | 第91-92页 |
| 5.5.2 防动态逆向工程 | 第92-94页 |
| 5.5.3 图的构建 | 第94-95页 |
| 5.5.4 代码块多样化 | 第95-96页 |
| 5.5.5 性能评估 | 第96-98页 |
| 5.6 本章小结 | 第98-99页 |
| 6 基于语义的迷惑恶意代码静态分析 | 第99-113页 |
| 6.1 引言 | 第99页 |
| 6.2 形式化规范语言 | 第99-100页 |
| 6.3 语义匹配 | 第100-101页 |
| 6.4 SAFE的体系结构 | 第101-103页 |
| 6.5 程序注释器 | 第103-108页 |
| 6.5.1 基本定义 | 第103-107页 |
| 6.5.2 抽象模式 | 第107-108页 |
| 6.5.3 注释器操作 | 第108页 |
| 6.6 检测器 | 第108-112页 |
| 6.6.1 恶意代码自动机 | 第108-109页 |
| 6.6.2 检测器操作 | 第109-112页 |
| 6.7 检测结果 | 第112页 |
| 6.8 本章小结 | 第112-113页 |
| 7 基于功能特征的迷惑恶意代码检测 | 第113-137页 |
| 7.1 引言 | 第113页 |
| 7.2 相关概念及定义 | 第113-114页 |
| 7.3 检测方法的框架 | 第114-117页 |
| 7.4 形式化表达式 | 第117-124页 |
| 7.4.1 变量的索引值 | 第117-120页 |
| 7.4.2 表达式形式化 | 第120-122页 |
| 7.4.3 表达式形式化规则 | 第122-124页 |
| 7.5 特征计算算法 | 第124-129页 |
| 7.5.1 操作数处理 | 第124-126页 |
| 7.5.2 赋值变量处理 | 第126-127页 |
| 7.5.3 改进的局部优化算法 | 第127-128页 |
| 7.5.4 最终特征计算算法 | 第128-129页 |
| 7.6 恶意软件检测算法 | 第129-130页 |
| 7.7 交叉基本块传播相关算法 | 第130-132页 |
| 7.7.1 寻找回边 | 第131页 |
| 7.7.2 节点到达算法 | 第131-132页 |
| 7.8 分析工具IRPar | 第132-133页 |
| 7.9 实例说明 | 第133-136页 |
| 7.10 本章小结 | 第136-137页 |
| 8 总结与展望 | 第137-140页 |
| 8.1 本文工作总结 | 第137-138页 |
| 8.2 展望 | 第138-140页 |
| 致谢 | 第140-141页 |
| 参考文献 | 第141-156页 |
| 攻读博士学位期间发表的论文及取得的科研成果 | 第156-157页 |
| 附录 | 第157-160页 |
