基于Win32 API和SVM的未知病毒检测方法

提出了一种Windows平台下检测未知病毒的新方法,该方法通过分析PE文件调用的Win32 API序列,用SVM来对划分后k长度的API短序列分类,并通过分析API函数及参数危险程度来提高SVM分类的精确度,从而实现对未知病毒的检测。实验结果表明,该方法实现的病毒检测系统比只用SVM的系统具有更好的检测效果。

Win32.SQLExp.Worm蠕虫病毒分析与对策

分析了Win32.SQLExp.Worm蠕虫病毒原理,并给出相应解决方案。

Win32侵染式病毒的宿主入口技术

分析了Win32病毒编制中宿主入口技术的原理并给出了实现这种技术的流程,并基于此原理,初步提出了利用加壳和校检码检测来对抗宿主入口技术的设想.

基于行为分析的WIN32 PE病毒检测技术研究

面对日趋复杂的网络应用环境,计算机安全受到了极大的挑战,特别是计算机病毒更是计算机安全中难以根治的主要威胁之一。本文对当前最有技术含量的恶意代码WIN32 PE进行了详细的分析,提出了计算机病毒检测方法,设计了基于行为分析的病毒检测模型。

基于逻辑语义流图的Win32 PE病毒检测方法

通过详细分析Win32 PE病毒程序的搜索模块和传染模块,提出基于逻辑语义流图的病毒检测方法。该方法总结Win32 PE病毒的语义特征构造出病毒模式库,提取模式库中模式集与目标文件逻辑流图的节点集进行模式匹配,同时利用病毒程序和正常程序语义特征的差异性,达到检测病毒的目的。模拟实验选择4种病毒作为样本来确定阈值,并对80个正常PE文件和45个含PE病毒的文件进行检测,结果表明,选择合适的阈值可以有效检测出PE病毒。

WIN32 PE病毒检测系统的设计与实现

互联网信息技术为现代人的工作和生活带来了巨大的便利,与此同时,层出不穷的木马、病毒和各种恶意软件使计算机的安全受到了巨大的挑战,也严重影响了人们的生活。为了进一步遏制木马、蠕虫、病毒等恶意软件,国内外很多专家都设计了诸如病毒程序机器码和虚拟机技术、静态扫描等方式去进行病毒的检测,但是实际上计算机病毒的更新换代比人们想象的更加快速,尤其是对于当前新兴的、技术含量最高的WIN 32 PE病毒,检测技术仍然比较落后。本文对于WIN 32 PE病毒进行了详细分析,并提出了基于病毒行为的检测方法,构建了一个病毒检测的模型,能够适应当今病毒种类多、产生快的特点,实现对新型病毒的检测。

Win32 PE文件型病毒的分析及研究

对Win32平台上的病毒生成和执行过程进行分析,针对每个重要步骤给出相应的代码,并在综合各项分析的基础上给出病毒实例;对文件型病毒三大特征,即隐藏、感染和破坏进行了分析综合;最后对计算机病毒的发展趋势做了预测。

Trojan-Spy．Win32．Qeds．a病毒技木报告

这是一个借助于qQ传播的病毒，该病毒一味走色情路线．很容易就能突破大家的“防线”。该病毒为蠕虫病毒，长度为20480字节．通过QQ发送病毒文件．并以色情字样作为引诱。常见的语句包括“美女超短裙被刮破的那一刻!”、‘推荐-很珍贵历史照片：估计9成人没看到过”和“真正的美女并不是脱光了衣服才够靓！”等（图1）。病毒运行后会从未知网站上下或病毒“Trojan．Win32．VB．xb”．后者的主要任务在于窃取密码。

32位Windows系统下PE文件格式的漏洞研究

基于32位Windows系统下PE文件格式漏洞研究的目的,通过从整体简析PE文件(Portable Executable File)框架结构,结合PE文件自身的结构特点的方法,阐述了PE文件的修改思想,探讨了在Win32 PE文件病毒应用领域的关键技术,得出了Win32体系结构下基于PE文件格式若干漏洞的结论。

手工绞杀Win32.Reper.A

这段时间，笔者在各论坛上常见到关于Win32．Reper．A病毒的求助，大家的反映是此病毒很难被清除。恰好笔者所在单位某台机器上发现了此病毒，发现此款病毒确有许多特点，有说一下的必要。

Win32汇编语言构建可移动存储设备安全防护工具

与互联网物理隔绝的内部网络,对病毒或木马形成屏障的同时也阻碍了系统补丁和安全软件的实时更新,无法得到及时有效查杀的病毒通过可移动存储设备快速传播,给工作带来诸多不便和困扰。使用Win32汇编语言构建一个基于常见优盘病毒特征、易于扩展的安全工具模板,以便于对此类病毒的自动监控和处理。

深入浅出Win32多态技术

多态存在的主要原因是．总是和反病毒软件的存在相关的。在那个没有多态引擎的时代，反病毒软件通过简单地使用一个扫描字符串来检测病毒，它们最困难地是加密了地病毒。所以，一个病毒编写者有了一个天才的想法。我敢肯定他在想”为什么我不编写一个不可扫描的病毒呢．这是通过技术来实现？“然后．多态诞生了。多态意味着在一个加了密的病毒中包括解密部分之内．排除所有可能的恒定不变的字节来避免被扫描。是的．多态意味着为病毒建立变化的解密程序。呵呵．简单而有效。这是基本的概念：永远不要建立两个一样（在外观上）的解密程序．但是总是能完成相同的功能。它好像是加密的自然扩展，但是因为加密代码还不是足够短，它们可以通过一个字符串来抓住．但是．利用多态．字符串就没有用了。

一种监测计算机病毒的方法

在分析 3 2位计算机病毒的编制和运行的基础上 ,提出对病毒进行自动化分析的观点 ,并基于面向对象技术进行了实现。改进了手动分析病毒的传统方式 ,深层理解病毒在宿主内的行为 ,方便了防毒软件的编写。

一种分布式的计算机病毒监测方法

在分析32位计算机病毒的编制和运行的基础上,提出对病毒进行自动化分析的观点,并基于面向对象技术进行了实现。改进了手动分析病毒的传统方式,深层理解病毒在宿主内的行为,方便了防毒软件的编写。同时对未知病毒的防治也有积极的意义。

基于复制行为的病毒检测

复制是所有病毒都具有的基本特征。给出一个通过检测病毒复制行为来检测病毒的方法。检测病毒复制行为的方法关注病毒复制时执行的读写操作,通过构造这些操作的关系树来检测病毒的复制行为。在实验中对每个病毒和程序调用的Win32 API的日志文件进行分析,检测是否出现了病毒复制行为,结果表明可以通过检测病毒的复制行为来检测病毒。

半月病毒播报

病毒名称：“线上游戏窃取者变种OZS（Trojan．PSW．Win32．GameOL．ozs）”;病毒名称：“安德夫木马变种JYE（Trojan．win32．Undef．jye）”;病毒名称：“下载器蠕虫变种IA（Worm．Win32．DownLoader．ia）”;病毒名称：灰鸽子变种BRQ（Backdoor．Win32．Gpigeon2007．brq）”;

病毒播报

渡氓软件7939 Win32．Dgent；VB下载器变种DOH Trojan．DL．VB．doh；戚尔佐夫变种LY Worm．Mail．Warezov．ly；征途木马变种XO Trojan．PSW．ZhengTu．xo。

病毒播报9月上

杀软伪装器变种CJ Trojan．Win32：FakeVir．cj；代理蠕虫变种VH Worm．Win32．Agent．vh；下载器蠕虫变种IA Worm．Win32．DownLoader．ia；梅勒斯木马下载器变种AQS Trojan．DL．Win32．Mnless．