检索规则说明:AND代表“并且”;OR代表“或者”;NOT代表“不包含”;(注意必须大写,运算符两边需空一格)
检 索 范 例 :范例一: (K=图书馆学 OR K=情报学) AND A=范并思 范例二:J=计算机应用与软件 AND (U=C++ OR U=Basic) NOT M=Visual
名 称:
注 释:
机构地区:[1]中国科学院软件研究所基础软件国家工程研究中心,北京100190 [2]中国科学院研究生院,北京100190
出 处:《计算机工程与应用》2011年第10期71-74,共4页Computer Engineering and Applications
基 金:国家自然科学基金No.90818012;中国科学院重要方向项目(No.KGCX2-YW-125);北京市科委项目(No.Z08000102000801)~~
摘 要:自修改代码技术是恶意程序用以防止反汇编静态分析的最常见技术。传统操作系统的恶意代码防范技术不能有效监测和防止自修改恶意代码的执行和传播。介绍了一个基于虚拟机架构对自修改代码进行监测和监控的方法CASMonitor,能够从虚拟机外部动态、透明地监控虚拟机内部指定程序的执行过程,监测代码的自修改行为,解析新生成代码的入口点,进而提供病毒扫描等功能。x86/Win32虚拟机架构下的实验表明,该技术能够处理多种自修改代码行为以及常见的加壳工具。Self Modifying Code(SMC) is the common form of malware to disable the static analysis of reverse engineering techniques.It is difficult for traditional operating system to handle SMC efficiently.This paper presents a Virtual Machine (VM) based framework called CASMonitor,which can monitor the given process out of guest operating system dynamically and transparently,analyze the new code generated by SMC during runtime,for entry point detection or virus-scanning.Experiments on x86/Win32 show that it can handle various popular binary packers.
分 类 号:TP316.8[自动化与计算机技术—计算机软件与理论]
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在链接到云南高校图书馆文献保障联盟下载...
云南高校图书馆联盟文献共享服务平台 版权所有©
您的IP:18.116.15.98