一种PE文件加壳检测规则

在恶意代码自动分析系统中,对恶意样本进行文件格式检查,并判断其是否被加壳是对其进行自动分析的第一步。为了对加壳PE可执行文件实现更加准确的识别,提出一个基于文件头和部分文件内容的PE文件加壳检测规则(NFPS)。通过提取PE文件中5个方面的特征值,并按照NFPS规则进行计算,即可判定PE文件是否被加壳。经测试,其检测率高达95%以上,并支持多层壳的循环检测。     

基于加解壳技术的防病毒保护壳

计算机病毒发展日新月异,而杀毒软件的产生存在滞后性.也就是说,借助现有的杀毒软件检测系统是否感染了新现病毒是件比较棘手的事.本文基于加、解壳原理和病毒运行流程,提出了一种新的判断方法.首先对干净文件加防病毒保护壳,待运行该文件时,文件自动解壳判断是否已感染病毒,并进行相应处理,最后用Delphi编程实现,同时利用该WinHex查看加壳后的结果.实践证明,该保护壳具有可用性.     

基于数据挖掘技术的加壳PE程序识别方法

恶意代码大量快速的繁衍使得恶意代码自动化检测成为必然趋势,加壳程序识别是恶意代码分析的一个必要步骤。为识别加壳可执行程序,提出一种基于数据挖掘技术的自动化加壳程序识别方法,该方法提取和选取可移植可执行(PE)特征,使用分类算法检测PE文件是否加壳。测试结果表明,在使用J48分类器时加壳文件识别率为98.7%。     

基于带权欧拉距离的PE文件壳检测技术

越来越多的恶意软件出现在网络上。恶意软件作者通过网络将软件中的恶意代码植入用户的电脑中,从而达到诸如获得用户名与密码的非法目的。为了阻止它们对用户电脑的侵害,软件分析人员必须分析恶意软件的工作原理。但是,如果这些恶意软件加壳,那么分析它们就会变得非常困难,因此必须对他们进行脱壳。脱壳的第一步即检测这些恶意软件是否加壳。本文通过对未加壳和已经加壳的软件PE头部进行分析与比较,提出了带权欧拉距离PE文件壳检测(PDWED)算法,其中包括构造一个含有10个元素的向量,并为每个向量中每个元素分配一个权重值,计算向量的带权欧拉距离。实验结果表明,PDWED能够比较快速而又准确地检测软件是否加壳。     

PE文件中脱壳技术的研究

对PE(Portable Executable)文件进行加壳是保护软件的有效手段,但恶意程序也会通过加壳来保护自己.作为一名病毒分析师或软件安全分析员,只有先将其脱壳,才能进行彻底的分析.以Windows记事本程序为实例,首先分析了PE文件结构及其加壳原理,其次阐述了脱壳的一般步骤,然后从压缩壳和加密壳的角度,重点探讨了脱壳技术的原理和方法.最后对伪装壳和多重壳及程序自校验进行了探讨和分析.     

虚拟机在软件加壳中的应用研究

为提高壳的安全性,研究了基于虚拟机的加壳技术.虚拟机通过编译器,把原始字节码编译成伪指令;在执行时,通过虚拟机的解释器把伪指令翻译成原始字节码.设计了伪指令,实现了编译器,并对PE文件补充解释器,构建新的PE头部、节表和节.实验表明,基于虚拟机加壳提高了软件的安全性.     

基于JNI机制与云平台的细粒度Android应用加固方法

Android应用加固是信息安全领域研究的热点之一.针对现有加壳技术以及so文件整体加固方案的不足,融合JNI机制、动态加载技术及云平台理念,提出一种面向Android应用的加固模型,给出了基于JNI机制的函数代码加固方案和基于云平台的加壳解壳方案,形成了一种基于JNI机制与云平台的细粒度Android应用加固方法,从而实现了so文件的细粒度加固,解决了源apk文件易被获取以及解壳程序易被篡改的问题.开发了加固系统原型,验证了基于JNI机制与云平台的细粒度Android应用加固方法的有效性,且加固应用的Dalvik虚拟机工作负担、内存占用量及启动时间并未显著增加.     

PE文件动态加壳技术的研究与实现

对可执行文件加壳是保护软件的一种有效方法。但常用的加壳软件采用的是一种静态加壳技术,所有被加壳后的可执行文件都具有部分相同的代码,这样就增加了软件被破解的可能性,不能完全满足PE文件保护的需求。针对这一不足,在分析PE文件格式和加载机制的基础上,提出PE文件动态加壳的思想,设计和实现了一种PE文件动态加壳软件。试验结果表明其可以有效地提高PE文件的自我保护能力。     

一种抗混淆的大规模Android应用相似性检测方法

随着代码混淆、加壳技术的应用,基于行为特征的Android应用相似性检测受到的影响愈加明显.提出了一种抗混淆的大规模Android应用相似性检测方法,通过提取应用内特定文件的内容特征计算应用相似性,该方法不受代码混淆的影响,且能有效抵抗文件混淆带来的干扰.对5.9万个应用内的文件类型进行统计,选取具有普遍性、代表性和可度量性的图片文件、音频文件和布局文件作为特征文件.针对3种特征文件的特点,提出了不同内容特征提取方法和相似度计算方法,并通过学习对其相似度赋予权重,进一步提高应用相似性检测的准确性.使用正版应用和已知恶意应用作为标准,对5.9万个应用进行相似性检测实验,结果显示基于文件内容的相似性检测可以准确识别重打包应用和含有已知恶意代码的应用,并且在效率和准确性上均优于现有方案.     

基于文件静态信息的木马检测模型

提出了一种基于文件静态信息检测木马文件的新方法，并以PE文件为分析对象，利用决策树与基于BP学习算法的分层网络，设计了基于文件静态信息的木马检测模型，实验证明，该模型能有效地判断文件是否为木马文件。     

国家级地面气象台站探测环境网络直报系统设计研究

目的研究改变地面气象台站探测环境监测传统的上报方式,建设国家级地面气象台站探测环境网络直报软件系统。方法采用基于互联网进行直报的方式,解决了使用Excel文件上报方式带来的查询、统计等困难的现状。系统使用WebGIS实现探测环境监测专题图的制作等。结论采用上述方法建设的国家级地面气象台站探测环境网络直报系统更能满足实际业务需求,可为各级气象部门进行探测环境保护工作提供更直观的决策支持服务信息。     

An n-gram-based approach for detecting approximately duplicate database records

Detecting and eliminating duplicate records is one of the major tasks for improving data quality. The task, however, is not as trivial as it seems since various errors, such as character insertion, deletion, transposition, substitution, and word switching, are often present in real-world databases. This paper presents an n-gram-based approach for detecting duplicate records in large databases. Using the approach, records are first mapped to numbers based on the n-grams of their field values. The obtained numbers are then clustered, and records within a cluster are taken as potential duplicate records. Finally, record comparisons are performed within clusters to identify true duplicate records. The unique feature of this method is that it does not require preprocessing to correct syntactic or typographical errors in the source data in order to achieve high accuracy. Moreover, sorting the source data file is unnecessary. Only a fixed number of database scans is required. Therefore, compared with previous methods, the algorithm is more time efficient. Published online: 22 August 2001     

基于机器学习的模糊测试种子输入优化

模糊测试作为一种自动化检测应用程序漏洞的方法, 常常被用来检测各种软件以及计算机系统的漏洞挖掘中. 而种子文件质量的高低对于模糊测试的效果而言至关重要. 所以本文提出了一种基于机器学习的模糊测试种子输入的生成方法, 利用样本输入和基于机器学习的技术来学习样本输入的规则和语法. 并利用学到的规则和语法来生成全新的种子输入. 我们还提出了一个采样方法. 使得这些新的种子输入的覆盖率较之前有了明显提升.     

海量文件系统中基于特征实现文件多维度浏览

SMDFS可以高效地管理百亿级数量文件。然而针对照片、音乐等海量数据,往往需要从多个维度快速浏览文件,基于目录结构管理海量文件的传统文件组织方式很难满足这一要求。在SMDFS文件系统基础之上,为文件引入特征属性,并提出基于特征的海量小文件倒排索引技术和分布索引技术,使SMDFS可根据多个特征快速浏览文件。实验数据表明,支持特征的SMDFS能为海量小文件提供高效管理和多维度快速浏览能力,同时基于文件目录结构访问海量小文件的性能并没有明显下降。     

DOS下map2exe的实现技术

本文介绍了将内存中的映象文件转换民可执行文件的方法，并给出转换程序，可广泛用于各种ｅｘｅ文件的脱壳。     

在VB中用OLE控件显示数据库中的BLOB数据

介绍了一种在VB中通过ADO(ActiveX Data Objects)的Stream对象操作数据库中BLOB(Binary Large Object)数据(如图形、声音文件或带格式的大文本文件等)，并将其显示在OLE控件中的简单、高效的方法，阐述其工作过程及特点，并以处理SQL Server中Image字段为例加以说明。     

基于统计学的文件闲散区隐藏数据取证分析方法研究

该文针对文件闲散区(File slack)含有重要的取证信息这一特征,首先分析了文件闲散区的物理结构以及及其形成机制,然后提出了基于熵统计特征的方法,用以识别具有取证价值的文件闲散区.结合已有的取证特征模式,可以有效解决文件闲散区取证内容自动识别以及关键取证信息提取问题.实验结果表明,基于统计技术的文件闲散区取证分析方...     

Linux中文件权限管理的探讨

Linux是一种多用户的操作系统,其文件权限管理在文件管理中占有重要的地位。为了更好地把握Linux的文件权限的相关内容,本文以多种Linux的发行版为平台,结合文件权限的相关概念,探讨了文件权限管理的主要方式——图形化方式和shell命令方式。其中重点探讨了采用shell命令对文件权限的管理,完善了chmod的常规用法,扩充了umask的文字设定法。     

一种新的基于PDF文档结构的信息隐藏算法

通过分析格式化文件PDF(Portable Document Format)文档的数据结构，提出了一种新的基于PDF文档结构的大容量信息隐藏算法。将秘密信息预处理后伪装成合法PDF对象的形式，以文件流的操作方式嵌入到载体文件中，并满足嵌入的信息不影响文件在阅读器、编辑器与打印机中的输出。实验实现了线性化PDF文档的信息隐藏与检测。理论分析与实验结果均表明，该算法具有较大的信息隐藏容量、很快的隐藏与检测速度及依赖于加密算法和密钥的安全性。