基于Qemu的恶意程序行为捕获软件研究与实现
| 摘要 | 第1-4页 |
| Abstract | 第4-7页 |
| 第一章 绪论 | 第7-11页 |
| ·研究背景与意义 | 第7-8页 |
| ·国内外研究现状 | 第8-9页 |
| ·本文内容和章节安排 | 第9-11页 |
| 第二章 API 捕获方法 | 第11-15页 |
| ·API 在行为刻画中的作用 | 第11-12页 |
| ·静态捕获方法 | 第12-13页 |
| ·动态捕获方法 | 第13-14页 |
| ·动静结合的捕获方法 | 第14-15页 |
| 第三章 Qemu 原理 | 第15-25页 |
| ·Qemu 系统框架 | 第15-16页 |
| ·指令翻译框架 | 第16-20页 |
| ·动态二进制翻译 | 第16-17页 |
| ·Qemu 指令翻译 | 第17-20页 |
| ·内存虚拟化 | 第20-21页 |
| ·待消除的语义鸿沟 | 第21页 |
| ·捕获机制 | 第21-25页 |
| ·捕获软件框架 | 第21-22页 |
| ·API 调用分析框架与读取参数的回调函数 | 第22-25页 |
| 第四章 捕获软件研究与实现 | 第25-43页 |
| ·多进程识别机制 | 第25-29页 |
| ·主进程识别 | 第25-27页 |
| ·子进程识别 | 第27-28页 |
| ·被注入进程识别 | 第28-29页 |
| ·多线程识别逻辑 | 第29页 |
| ·通信机制 | 第29-32页 |
| ·沙盒启动管理程序的工作逻辑 | 第31页 |
| ·沙盒系统的工作逻辑 | 第31-32页 |
| ·后续行为捕获机制 | 第32-40页 |
| ·后续行为监控要解决的问题 | 第32-33页 |
| ·后续行为监控的主要流程 | 第33-34页 |
| ·Windows 服务监控 | 第34-37页 |
| ·自启动监控 | 第37-39页 |
| ·释放的普通 EXE 文件的监控 | 第39-40页 |
| ·非 PE 文件的监控 | 第40页 |
| ·配置化 | 第40-43页 |
| ·配置化要解决的问题 | 第40-41页 |
| ·配置化内容 | 第41页 |
| ·配置化文件的格式 | 第41-42页 |
| ·内部工作流程 | 第42-43页 |
| 第五章 实验结果与分析 | 第43-47页 |
| ·功能测试 | 第43-45页 |
| ·性能测试 | 第45-47页 |
| 第六章 总结与展望 | 第47-49页 |
| ·系统解决的问题和缺陷 | 第47页 |
| ·未来的工作方向 | 第47-49页 |
| 致谢 | 第49-50页 |
| 在读期间研究成果 | 第50-51页 |
| 附录 1 | 第51-63页 |
| 参考文献 | 第63-65页 |
