题名 基于PE文件无容量限制的信息隐藏技术研究
被引量:8
1
作者
李钱 方勇 谭登龙 张长山
机构
四川大学信息安全研究所
出处
《计算机应用研究》
CSCD
北大核心
2011年第7期2758-2760,共3页
文摘
分析了现有的基于PE文件信息隐藏技术及其不足,提出一种以扩充.text节达到无容量限制的信息隐藏方案。通过对嵌入的信息进行加密、完整性校验、代码伪装、混合原代码等预处理,再根据预处理后的信息大小扩充.text节,并调整随后的各个节以及输入表的位置,以及PE头的各个相应标志的值,保证嵌入信息后的PE文件仍然能正常执行。实验表明,该方案不仅能达到无容量限制的信息隐藏,而且具有一定的隐蔽性和鲁棒性。
关键词
信息隐藏 pe 文件text节 密码学 无容量限制
Keywords
information hiding pe file text node cryptography no capacity limit
分类号
TP309
[自动化与计算机技术—计算机系统结构]
题名 基于PE文件结构异常的未知病毒检测
被引量:5
2
作者
樊震 杨秋翔
机构
中北大学电子与计算机科学技术学院
出处
《计算机技术与发展》
2009年第10期160-163,共4页
基金
山西省自然科学基金(20011040)
文摘
目前基于行为分析的未知病毒检测方法,需要可执行文件运行后才能检测到,无法检测出以静态形式存在计算机中的病毒文件。文中提出了一种基于静态文件的未知病毒检测新技术,通过分析PE文件结构中的异常值,运用贝叶斯方法和支持向量机来识别静态和非静态的未知病毒。相比基于行为分析的未知病毒检测方法,在不需要运行可执行文件的情况下即可检测出是否可能为未知病毒文件。本方法相比基于函数调用API序列的数据挖掘方法的病毒检测方法,不需要对文件进行脱壳等复杂计算处理,明显提高了检测速度。试验结果表明,该方法对未知病毒有较快的检测速度、较高的识别率和较低的误判率。
关键词
静态文件 pe 文件未知病毒检测
Keywords
statie state file pe file unknown virus detection
分类号
TP309.5
[自动化与计算机技术—计算机系统结构]
题名 一种基于明可夫斯基距离的加壳PE文件识别方法
被引量:5
3
作者
吴丽娟 李阳 梁京章
机构
广西大学信息网络中心 广西大学计算机与电子信息学院
出处
《现代电子技术》
北大核心
2016年第19期80-81,88,共3页
基金
广西教育科学"十二五"规划2015年度教育信息化工作专项课题(2015ZKY9)
文摘
针对绝大多数的木马都经过了PE文件加壳处理的情况,对PE文件的加壳检测进行了研究。对基于欧几里得距离的加壳PE文件识别方法进行改进,在此基础上提出了基于明可夫斯基距离对PE文件进行分类,检测PE文件是否加壳。实验表明,相对于流行的PEid工具,该法具有较高的检测率、误报率和漏报率也在可接受的范围内。
关键词
木马识别 pe 文件加壳检测 pe id
Keywords
Trojan Horse detection pe file packing detection pe id
分类号
TN911.73
[电子电信—通信与信息系统]
题名 计算机病毒与反病毒检测系统技术分析
被引量:5
4
作者
李丹
机构
陕西学前师范学院
出处
《微型电脑应用》
2014年第8期52-55,共4页
文摘
针对计算机被病毒感染和破坏造成严重损失,在分析了计算机病毒的特征和反病毒检测系统技术的基础上,提出了一种高效的病毒特征检测机制。首先,例举先进的反病毒技术有实时扫描技术,启发式代码扫描技术,虚拟机技术和主动内核技术等;然后,分析了二进制可执行病毒脚本病毒和宏病毒的特征提取技术,设计出一个简单蜜罐系统来获取病毒样本;其次,为了解决特征代码不能检测未知病毒的问题,对引擎做了改进,提出了一种融合AC自动机匹配算法和BM算法的ACBM多模式匹配算法。算法在匹配病毒特征时,具有效率高,速度快和准确度高的特点,以特征代码法为基础杀毒软件是病毒检测系统是下一步研究目标。
关键词
病毒探测机 字符码 pe 文件匹配法则
Keywords
Virus Detecting Machine Character Code pe file Matching Principle
分类号
TP311
[自动化与计算机技术—计算机软件与理论]
题名 手工DLL注入的检测方法研究与实现
被引量:5
5
作者
陈庄 王津梁 张醍
机构
重庆理工大学计算机科学与工程学院 重庆邮电大学软件工程学院
出处
《信息安全研究》
2017年第3期246-253,共8页
文摘
由于恶意代码的隐藏和生存能力随着计算机系统和网络技术的发展不断提高,对恶意代码的检测技术面临着新的技术挑战,而"DLL注入"是一种常见的使用恶意代码感染正常可执行文件的手段.在深入理解了PE文件结构的基础之上,研究了一种通过手工修改PE文件来实现DLL注入的技术,并提出了一种检测PE文件中被恶意注入DLL的方法.该方法的提出对DLL注入和检测方法的研究具有积极意义.
关键词
恶意代码 DLL注入 pe 文件进程 检测技术
Keywords
malicious code DLL injection pe file process detection technology
分类号
TP309.5
[自动化与计算机技术—计算机系统结构]
题名 恶意代码的RGB图像化方法研究
被引量:1
6
作者
李倩芸 高丽婷 刘明珠
机构
河北建筑工程学院
出处
《河北建筑工程学院学报》
CAS
2023年第1期226-231,共6页
文摘
近些年,恶意代码攻击事件频现,准确识别出恶意代码的类型能够有效地对恶意代码进行精准防控,然而传统的恶意代码分类方法通常是将恶意代码文件直接转化为灰度图像,或是将恶意代码文件经过处理后转换为灰度图像,而灰度图像作为单通道图像蕴含的信息少,已经无法满足不断改进的恶意代码的辨识要求。针对这一问题,提出了一种将恶意代码转换为RGB图像的方法,该方法能够在恶意代码图像中融入更多的特征,能够适应不断增加的新型变种的恶意代码分类的预处理要求。
关键词
恶意代码 pe 文件RGB图像
Keywords
malicious code pe file RGB image
分类号
TP389.1
[自动化与计算机技术—计算机系统结构]
题名 基于特征码的PE文件自动免杀策略
被引量:5
7
作者
吴伟民 范炜锋 王志月 李晓峰 黄健炜
机构
广东工业大学计算机学院
出处
《计算机工程》
CAS
CSCD
2012年第12期118-121,共4页
文摘
设计一种以逐块恢复法替代传统逐块替换法的特征码定位算法,在此基础上提出一种针对不同区段进行自动免杀的策略。将该策略与改进的多重特征码定位算法相结合,在保持被免杀软件原有功能的前提下,使用等价代码替换技术、字符串与输入表函数名位移等方法自动进行特征码的去除和替换,由此避免被杀毒软件识别为恶意软件。实验结果验证了该策略的有效性。
关键词
特征码 定位 免杀 pe 文件等价代码替换 输入表
Keywords
characteristic code locating free-antivirus pe file equivalent code replacement import table
分类号
TP309.2
[自动化与计算机技术—计算机系统结构]
题名 基于PE文件资源结构的水印算法
被引量:5
8
作者
徐晓静 徐向阳 梁海华
机构
湖南大学计算机与通信学院
出处
《计算机工程与设计》
CSCD
北大核心
2007年第23期5802-5804,共3页
文摘
根据PE文件资源节结构和资源信息查找特点,提出了一种新的保护软件版权的水印算法。新算法引入了水印认证中心,利用大数分解难题生成具有法律效力的水印信息,用水印控制软件资源节结构图中节点的存放顺序,将水印信息隐藏于重排的资源结构图中。水印提取完全实现了盲检测。经分析,该算法能有效抵抗多种常见的攻击,具有较强的不可感知性和鲁棒性。
关键词
软件水印 pe 文件资源节 版权保护 水印认证中心
Keywords
software watermark pe file resources section copyright protection watermark authentication center
分类号
TP309
[自动化与计算机技术—计算机系统结构]
题名 基于集成学习的PE恶意代码静态特征检测研究
9
作者
李佟鸿 冷静
机构
湖北警官学院
出处
《湖北第二师范学院学报》
2023年第8期37-44,共8页
基金
2017年度教育部人文社会科学研究规划基金项目“基于深度学习的恶意代码分类技术研究”(17YJAZH043)。
文摘
应用机器学习研究恶意代码的检测和分类问题,是当前网络安全行业的研究热点。通过对PE(可移植可执行)格式的恶意代码文件提取头信息等静态特征,运用可视化分析方法研究恶意代码与良性代码重要特征之间的结构性差异。将机器学习的集成学习思想应用到恶意代码检测,使用几种典型的集成学习模型对特征数据集进行学习,取得了良好的检测效果。设计了一个2层的Stacking组合模型,恶意代码检测达到99.13%的准确率,AUC值99.6%,已几乎接近最优值1。比对实验中采用不同的数据集,验证所使用模型的检测效果。
关键词
集成学习 pe 文件Stacking组合模型 恶意代码
Keywords
ensemble learning pe file stacking combination model malware
分类号
TP309
[自动化与计算机技术—计算机系统结构]
题名 改进的基于DNN的恶意软件检测方法
被引量:4
10
作者
张柏翰 凌捷
机构
广东工业大学计算机学院
出处
《计算机工程与应用》
CSCD
北大核心
2021年第10期81-87,共7页
基金
广东省重点领域研发计划项目(2019B010139002) 广州市重点领域研发计划项目(202007010004)。
文摘
当前基于深度学习的恶意软件检测技术由于模型结构及样本预处理方式不够合理等原因,大多存在泛化性较差的问题,即训练好的恶意软件检测模型对不属于训练样本集的恶意软件或新出现的恶意软件的检出效果较差。提出一种改进的基于深度神经网络(Deep Neural Network,DNN)的恶意软件检测方法,使用多个全连接层构建恶意软件检测模型,并引入定向Dropout正则化方法,在模型训练过程中对神经网络中的权重进行剪枝。在Virusshare和lynx-project样本集上的实验结果表明,与同样基于DNN的恶意软件检测模型DeepMalNet相比,改进方法对恶意PE样本集的平均预测概率提高0.048,对被加壳的正常PE样本集的平均预测概率降低0.64。改进后的方法具有更好的泛化能力,对模型训练样本集外的恶意软件的检测效果更好。
关键词
pe 文件恶意软件检测 深度学习 神经网络 深度神经网络(DNN)
Keywords
pe file malware detection deep learning neural network Deep Neural Network(DNN)
分类号
TP309
[自动化与计算机技术—计算机系统结构]
题名 PE程序加壳中的反脱壳技术研究
被引量:3
11
作者
张中华 苏志同
机构
北方工业大学
出处
《北京工业职业技术学院学报》
2008年第3期27-31,共5页
文摘
PE文件格式(Portable Executable File Format)是32位Windows操作系统引入的可执行文件格式,首先介绍了软件保护及用加壳的方式进行软件保护,然后详细的分析了加花指令、SEH(Structured Exception Handling)技术及IAT(Import Address Table)加密三种加壳保护手段,并给出了相关的原理介绍和主要的实现过程。
关键词
pe 文件加壳 花指令 SEH IAT
Keywords
pe file encryption shell protection junk instruction,SEH IAT
分类号
TP309.7
[自动化与计算机技术—计算机系统结构]
题名 一种变换PE文件引入表结构的软件水印
被引量:4
12
作者
龙飞宇 刘嘉勇 袁熹
机构
四川大学信息安全研究所 电子科技大学自动化工程学院
出处
《计算机应用》
CSCD
北大核心
2010年第1期217-219,共3页
文摘
通过分析PE文件引入表结构特点与模块函数调用方式,提出一种新的变换引入表结构的软件水印方法。新方法将数字水印信息隐藏于PE文件引入表模块与函数的排列顺序之中。分析表明,该方法比利用PE文件冗余空间和资源结构的水印算法有更好的隐蔽性和更强的鲁棒性,提供了更加安全的软件版权保护方式。
关键词
pe 文件引入函数 水印容量 版权保护
Keywords
pe file inducting function watermarking capacity copyright protection
分类号
TP309
[自动化与计算机技术—计算机系统结构]
题名 一种PE文件加壳检测规则
被引量:4
13
作者
姜晓新 段海新
机构
清华大学计算机科学与技术系 清华大学信息工程网络研究中心
出处
《计算机工程》
CAS
CSCD
北大核心
2010年第14期135-137,共3页
文摘
在恶意代码自动分析系统中,对恶意样本进行文件格式检查,并判断其是否被加壳是对其进行自动分析的第一步。为了对加壳PE可执行文件实现更加准确的识别,提出一个基于文件头和部分文件内容的PE文件加壳检测规则(NFPS)。通过提取PE文件中5个方面的特征值,并按照NFPS规则进行计算,即可判定PE文件是否被加壳。经测试,其检测率高达95%以上,并支持多层壳的循环检测。
关键词
恶意代码 pe 文件加壳
Keywords
malicious code pe file pack
分类号
TP309.2
[自动化与计算机技术—计算机系统结构]
题名 基于增量链接的PE文件信息隐藏技术研究
被引量:4
14
作者
田祖伟 杨恒伏 罗阳旭
机构
湖南第一师范学院信息科学与工程系 湖南大学信息科学与工程学院
出处
《计算机科学》
CSCD
北大核心
2012年第12期91-93,132,共4页
基金
国家自然科学基金项目(61073191) 湖南省自然科学基金项目(11JJ3075) +2 种基金 湖南省科技计划项目(2011GK3139) 湖南省普通高等学校教学改革研究项目(2012[528]) 湖南省大学生研究性学习和创新性实验计划项目(2010[421])资助
文摘
增量链接旨在提高编译速度和方便程序调试。通过分析采用增量链接后生成的PE文件的特点,提出了一种基于编译器增量链接特性的信息隐藏算法。该方案将隐秘信息隐藏在两个相邻函数代码之间的填充字节中,使得隐藏的信息与程序指令代码紧密结合在一起,极大地提高了隐蔽性和抗攻击性。实验结果表明:该算法隐藏容量大,隐藏信息后的PE文件的长度不会增加,程序性能不受影响,隐蔽性好。
关键词
pe 文件信息隐藏 增量链接 填充字节
Keywords
pe file Information hiding Incremental link Padding byte
分类号
TP309.7
[自动化与计算机技术—计算机系统结构]
题名 PE文件隐型加壳技术的研究与实现
被引量:4
15
作者
徐向阳 解庆春 刘勇 俞笛 刘寅
机构
湖南大学计算机与通信学院 中国科学院近代物理研究所
出处
《计算机应用研究》
CSCD
北大核心
2009年第1期337-338,341,共3页
基金
国家自然科学基金委员会重点资助项目(10635090)
文摘
通过对PE(portable executable)文件格式的了解,编写PE分析工具对文件内部结构进行分析。详细介绍了对PE可执行文件加壳的全过程,在此过程中巧妙地使用MD5、CRC32等成熟的hash算法及防API断点跟踪等多种反破解技术,并采用自动隐藏加密方案,大大地提高了软件的保护力度。
关键词
可移植的可执行文件 加壳 哈希算法 反跟踪
Keywords
pe file shell hash algorithm anti-track
分类号
TP309.7
[自动化与计算机技术—计算机系统结构]
题名 基于关联规则挖掘技术的病毒主动防御系统
被引量:2
16
作者
叶艳芳 叶东毅
机构
福州大学数学与计算机科学学院
出处
《集美大学学报(自然科学版)》
CAS
2006年第2期106-111,共6页
基金
福建省自然科学基金资助项目(A0310011) 福建省科技三项重点项目(K04005) 福州大学科技发展基金资助项目(2003-XQ-24)
文摘
提出了一种在W indows平台下检测变形病毒及未知病毒的新方法———以PE文件调用的W inAPI序列为特征,采用数据挖掘技术(OOA挖掘)来检测变形病毒及未知病毒.实验结果表明,本文所实现DMAV系统具有很好的鲁棒性和智能性,其中OOA规则生成器有效地解决了特征提取的优化问题.
关键词
变形病毒 pe 文件WIN API序列 数据挖掘 OOA挖掘
Keywords
polymorphic malware pe file Win API sequence data mining OOA mining
分类号
TP18
[自动化与计算机技术—控制理论与控制工程]
题名 可保留可用性和功能性的对抗样本
被引量:2
17
作者
肖茂 郭春 申国伟 蒋朝惠
机构
贵州大学计算机科学与技术学院 公共大数据国家重点实验室
出处
《计算机科学与探索》
CSCD
北大核心
2022年第10期2286-2297,共12页
基金
国家自然科学基金(62062022) 贵州省科学技术基金(黔科合基础[2020]1Y268)。
文摘
基于灰度图的恶意软件检测方法由于不需要反汇编且具有检测准确率高的特点而备受关注。现今已有一些针对该类检测方法的对抗攻击,然而当前大部分对抗攻击方法无法确保所生成的对抗样本仍保留原PE文件的可用性或功能性,或是选择在通过文件头信息便能进行准确检测的PE文件底部添加字节码。通过分析PE文件的区段对齐机制以及文件对齐机制,提出一种可保留PE文件可用性和功能性的字节码攻击方法(BARAF)。该方法通过在由文件对齐机制产生的间隙空间和源于区段对齐机制而具有的扩展空间内批量修改或添加字节码来生成可保留可用性和功能性的对抗样本,来欺骗基于灰度图像的恶意软件检测方法。实验结果表明,BARAF生成的对抗样本最多能使基于灰度图的恶意软件检测方法的准确率下降31.58个百分点,并且难以通过文件头信息对其进行准确检测。
关键词
对抗样本 恶意软件检测 灰度图 pe 文件
Keywords
adversarial example malware detection gray image pe file
分类号
TP309.5
[自动化与计算机技术—计算机系统结构]
题名 浅析计算机病毒检测系统的研究与实现
被引量:3
18
作者
胡晓晔
机构
宝鸡文理学院教学与实验设备管理处
出处
《河南科学》
2014年第7期1255-1258,共4页
文摘
透彻分析了计算机病毒的特征和计算机反病毒技术.当今比较先进的反病毒技术有实时扫描技术,启发式代码扫描技术,虚拟机技术和主动内核技术等.但是目前杀毒软件主要还是以特征代码法为基础.所以重点研究了一个基于特征代码法的病毒检测系统的设计思想和实现技术.首先,分析了二进制可执行病毒脚本病毒和宏病毒的特征提取技术,设计了一个简单蜜罐系统来获取病毒样本.其次,为了解决特征代码不能检测未知病毒的问题,对引擎做了改进.通过对PE文件格式的分析,总结了一系列与PE文件头节表有关的染毒标志性行为,利用这些行为特征设计了基于PE文件状态的病毒检测方案,两种病毒检测方法的结合显著提高了检测效率.
关键词
病毒探测机 字符码 pe 文件匹配法则
Keywords
virus detecting machine character code pe file matching principle
分类号
TP3
[自动化与计算机技术—计算机科学与技术]
题名 Windows PE文件结构及其加密的研究
被引量:1
19
作者
肖俊武 杨海峰
机构
湖北工学院信息工程学院
出处
《湖北工学院学报》
2004年第2期24-26,共3页
文摘
介绍了PE文件的基本结构,以及对PE文件的.text和.data块的DES加密过程.为了防止加密过的文件在执行时被动态调试软件如TRW2000、SOFTICE等跟踪,提出了 代码动态修正"思想,即对解密模块的部分关键代码在执行时予以修正,从而达到保护软件的目的.
关键词
WINDOWS pe 文件结构 DES加密 反跟踪 代码动态修正 解密模块
Keywords
pe file DES encryption anti-debug code dynamic fixing
分类号
TP309.7
[自动化与计算机技术—计算机系统结构]
题名 DLL注入及检测技术研究综述
被引量:1
20
作者
宋晓斌 穆源 朱涛 马陈城
机构
中国人民解放军
出处
《信息安全研究》
2022年第8期786-792,共7页
文摘
DLL(dynamic link library)注入作为目前开展隐蔽化渗透攻击的主流技术经过多年发展已形成多种类型,从最初的显式调用系统API创建远程线程逐步过渡到伪造系统DLL以及静态修改PE文件等方式.注入过程更复杂,方式更隐蔽,对检测技术也提出了更大的挑战.主要对常见的10种DLL注入技术原理进行分析.同时对当前业界主流的6种检测技术进行介绍,归纳总结各类技术优缺点,并提出该领域未来的研究方向,为后续开展DLL注入检测技术研究提供参考.
关键词
DLL注入 注入原理 注入检测 隐蔽化 pe 文件
Keywords
DLL injection injection principle injection detection covert pe file
分类号
TP309
[自动化与计算机技术—计算机系统结构]
