基于行为的智能手机权限授予机制

随着智能手机的发展,软件的恶意行为在移动平台也呈现爆发性增长。面对正常行为和恶意行为混杂的情况,现有的权限机制缺乏相适应的粒度以及足够的信息区分相同程序中的不同行为。以"程序行为"为粒度对应用程序进行授权,并辅助以行为的上下文作为判定依据可以有效地分离程序正常行为与恶意行为。基于上述概念设计并实现Event Chain原型系统,具有追踪、建立程序行为及其上下文的能力。实验表明,该系统能够检测到Bg Serv、Fake Player等5个病毒家族的89个恶意软件中的恶意行为,并且具有低于10%的性能开销。     

基于模型检测的程序恶意行为识别方法

利用恶意代码所具有的相同或相似的行为特征,提出一种基于模型检测技术的程序恶意行为识别方法。通过对二进制可执行文件进行反汇编,构建程序控制流图,使用Kripke结构对程序建模,利用线性时序逻辑描述典型的恶意行为,采用模型检测器识别程序是否具有恶意行为,并在程序控制流图上对该恶意行为进行标注。实验结果表明,与常用的杀毒软件相比,该方法能更有效地发现程序中的恶意行为。     

基于textCNN模型的Android恶意程序检测

针对当前Android恶意程序检测方法对未知应用程序检测能力不足的问题,提出了一种基于textCNN神经网络模型的Android恶意程序检测方法.该方法使用多种触发机制从不同层面上诱导激发程序潜在的恶意行为;针对不同层面上的函数调用,采用特定的hook技术对程序行为进行采集;针对采集到的行为日志,使用fastText算法来提取词向量;最后使用textCNN模型根据行为日志对Android程序进行检测与识别.实验结果表明,该方法对Android恶意程序检测的平均准确率达到了93.3％,验证了该方法对Android恶意程序检测具有较高的有效性与正确性.     

恶意行为检测 不惧最新病毒

恶意行为检测能够对系统中的程序进行检测。用户可以根据行为检测报告发现可能包含恶意代码的应用程序。它的原理是让杀毒软件通过对病毒的行为规律进行分析归纳,并结合病毒判定的经验而对各种程序动作进行监控,分析程序动作之间的逻辑     

基于机器学习的恶意程序检测系统的研究与设计

本文研究了基于机器学习的恶意程序检测方法，并设计了基于机器学习的恶意程序检测系统。该系统不仅能对于已知程序的安全性进行分析，也能够根据未知程序的行为进行分析检测，判定是否为恶意程序，并使用机器学习技术将程序分类，提高了检测结果的准确率。在对程序安全性的评估中，采用了“模糊层次分析”风险评估法，计算出各类程序行为发生的概率，并根据携带信息、反追踪和反取证3类行为特征中14项参数对程序的安全性进行打分，通过评估打分，能够检测出程序的恶意程度。     

基于行为特征的BIOS Rootkit检测

针对BIOS Rootkit难以检测的问题,提出一种基于行为特征的BIOS Rootkit的检测方法.该方法通过研究BIOS Rootkit工作原理和实现技术,对BIOS Rootkit的行为特征进行归纳、定义和形式化描述,在反编译的过程中提取行为,根据提取的行为构成BIOS Rootkit的完整程度进行恶意性判定.实...     

基于信任量化的自治系统恶意性判定

鉴于当前域间路由系统未能有效解决自治系统节点的行为恶意性判定问题,论文在研究人际网络信任关系的基础上,提出一种基于信任量化的自治系统恶意性判定模型。模型通过定义直接判定、协作判定及配合度3项判定准则,综合分析及量化目标自治域的路由交互行为,同时定义节点参与度作为最终判定结果的放大因子。基于仿真路由拓扑进行验证,结果表明,在面对典型的路由欺骗、服务受限及协作节点误报的情况下,该模型均能够有效识别和判定目标自治域节点的恶意行为,具备较好准确性和稳定性。     

基于硬件资源访问控制的固件恶意行为研究*

固件与传统的应用软件一样,都有可能存在木马、后门、逻辑炸弹等具有恶意行为的代码。由于固件具有硬件相关性、任务执行的阶段性与高内聚性等特点,使得传统的程序恶意行为描述方法不能适用于固件程序。探讨了固件程序及固件恶意行为的特点和本质特征,描述了一种基于硬件资源访问控制策略的固件程序恶意行为形式化建模和检测方法,并对该方法的有效性进行了实验验证。     

恶意网络程序的危害性及对策研究

恶意网络程序因其对计算机网络系统的巨大破坏作用而引起了人们的广泛关注。研究了恶意网络程序的本质特征,给出了恶意网络程序的定义。分别从功能特征和行为特征两个方面对网络恶意程序进行了分类研究。对恶意网络程序的危害性及其度量评估方法进行了深入分析研究。讨论了防范恶意网络程序的整体解决方案所需要考虑的因素,并提出了应对恶意网络程序的一般性原则。     

使用Android系统机制的应用程序恶意行为检测

Android中存在很多系统机制供应用程序使用,然而这些机制在不当使用时会对用户安全和利益造成很大的破坏性。提出一种基于程序分析的方法,检测应用程序使用这些机制时可能存在的恶意行为。针对函数本身的特征,构建与之相对应的函数摘要。在构建摘要时使用指令级的模拟执行,在检测恶意行为时使用函数级的模拟执行,通过这两种不同级别的模拟执行分析出应用程序中潜在的恶意行为。基于上述方法,设计和实现了一个原型系统。通过对公开的恶意应用样本进行检测,验证了本方法是有效的。     

Elastos平台上可执行文件的三种入口规范

Elastos嵌入式操作系统是基于CAR构件技术、支持构件化应用的操作系统,是国家863计划支持的TD-SCDMA的操作系统标准。Elastos平台上的可执行文件是Elastos嵌入式操作系统中最重要的文件类型,因为可执行文件是完成操作的真正执行者。可执行文件的大小、运行速度、资源占用情况及可扩展性等与文件加载过程和文件的入口规范紧密相关。研究可执行文件的加载过程、执行流程和入口规范对编写高性能程序和一些黑客技术的运用都是非常有意义的。     

Rewriting executable files to measure program behavior

Inserting instrumentation code in a program is an effective technique for detecting, recording, and measuring many aspects of a program's performance. Instrumentation code can be added at any stage of the compilation process by specially-modified system tools such as a compiler or linker or by new tools from a measurement system. For several reasons, adding instrumentation code after the compilation process—by rewriting the executable file—presents fewer complications and leads to more complete measurements. This paper describes the difficulties in adding code to executable files that arose in developing the profiling and tracing tools qp and qpt. The techniques used by these tools to instrument programs on MIPS and SPARC processors are applicable in other instrumentation systems running on many processors and operating systems. In addition, many difficulties could have been avoided with minor changes to compilers and executable file formats. These changes would simplify this approach to measuring program performance and make it more generally useful.     

用C++Builder为接口开发设计应用程序

介绍了驱动程序的模型、可执行文件的执行原理及格式,分析了Borland公司和Microsoft公司在obj文件l、ib文件格式方面的不同,得出二者不能通用的原因,最后介绍如何用C Builder为DLL生成自己需要的lib文件。文中内容对C Builder用户、Delphi用户在接口编程开发上有一定的指导作用。     

Windows NT可执行文件的块结构剖析

深入地剖析了ＷｉｎｄｏｗｓＮＴ可执行文件的块表与埠之间的构结关系,探讨了获取系统文件块的方法,揭示了可执行文件重要信息块的结构及运行机制;并结合ＷｉｎｄｏｗｓＮＴ系统程序ＳＥＴＵＰ ＥＸＥ验证了这一分析的正确性。     

Updating Fortran programs and other legacy code to an interactive window platform

This paper introduces a hybrid method to update legacy programs, thus combining the visual interactivity of window programs with the qualities of legacy code. Because migration from C, Fortran or Pascal to another programming language is very time-consuming and error-prone, it can be more beneficial to integrate legacy executable files into a visual interactive window shell. Such a shell program is described in this work. Its main part is a multi-file manager with an executable file as the main building block and MyFile as the base class of the resulting UML model. The window shell chosen here runs under the Microsoft Windows 9x/NT/2k/XP operating systems, and the program language to implement the designed shell is Visual Basic. The final shell program was tested with different types of executable files for earth satellite orbit determination, tidal acceleration computation and deformation analysis.     

一种获取关联程序启动路径的方法与实现

本文介绍了安装可执行程序修改注册表建立文件关联链表的过程,提出了一种基于文件类型获取关联应用程序启动路径的方法,并给出了用VB6.0语言实现的程序代码。     

向PE文件中插入代码技术的研究

PE文件格式是Windows操作系统引入的可执行文件格式。论文介绍windows平台下PE文件的基本结构。重点阐述了在不重编译源码的前提下实现代码插入技术所涉及的基本任务:把代码插入到PE文件中可用的空闲空间或者在文件尾部添加一个新的节来插入代码;如何用一般方法钩住程序的控制和和重定位插入代码;插入代码如何获取对其有用的windowsAPI函数的地址。向PE文件插入外部代码技术的研究是很有价值的,它对反PE型病毒和软件加壳技术的研究都很有用。     

一种实现仪器菜单动态配置的方法

阐述了一种实现仪器菜单动态配置的方法：主应用程序调用相应的仪器菜单解析程序;解析程序解析菜单数据配置文件,并向主应用程序返回显示代码;显示代码经编译、链接,形成可执行的二进制文件;二进制文件运行后显示相应的仪器菜单。运用该方法可以方便灵活地修改仪器菜单显示界面。     

高效可执行文件后门隐写算法

分析了目前基于可执行文件隐写算法的不足,提出了一种基于程序源文件修改的隐写算法。该算法将无意义的冗余函数以及后门代码均匀嵌入到程序源文件中,编译生成可执行文件载体。用隐秘信息分组替换冗余函数,从而达到嵌入信息的目的。通过算法的具体实现,验证了算法的可行性与有效性。与其他算法相比,明显提高了嵌入率,并且能够抵抗杀毒软件的检测。实验结果表明,该算法嵌入率高,嵌入容量大,算法安全性强。最后通过分析影响算法安全性的因素,提出了进一步提高算法安全性的可行性方案。     

一种带有密钥的.EXE文件隐秘传输方法

为解决电子商务中各种文件的隐秘传输问题,在分析可执行文件特点的基础上,结合空域信息隐藏原理,设计实现了一种带有密钥的.EXE文件隐密传输方法.该方法在密钥的作用下,将.EXE文件的比特流,隐藏在载体图像较低的3个比特位上.方法已采用Matlab编程实现,实验表明采用该方法进行可执行文件隐藏时,嵌入前后图像的PSNR大于30dB,人类的视觉根本无法区分.而且恢复的可执行文件同正常文件一样,其运行未受任何影响.算法的隐藏效果较好,可以满足文件的隐秘传输需要.