基于特征码定位的文件隐藏分析及实践

查杀拦截软件检测隐藏文件的原理之一是特征码,也就是将程序的片段和一些预先采样的数据片段进行比较来判断一个文件是不是含有恶意代码。如果能在自已的软件中找出特征码的所在,并进行适当的变形,便能一定程度上提高代码的隐蔽性。常用的寻找特征码的方法,是逐字节替换法,也即逐字节(或逐段)将代码替换为0000(或者别的),如果进行替换后查杀拦截等软件没有报警,说明特征码已被替换掉,即特征码在该被替换的位置。为了提高文件定位的效率,我们对文件特征码的定位技术作了分析研究,它利用了上述原理,将程序中的代码替换为0000,最后根据哪些生成文件被删除而哪些没有来定位特征码的位置。     

基于TRAP SERVER变形病毒特征码的分析与定位技术

在分析当前变形病毒最新发展方向及技术特点的基础上,利用HONEYNET软件TRAP SERVER诱捕黑客及其病毒入侵。并分析被捕获病毒的特点,特别是最新变形病毒的技术特点,在此基础上对变形病毒特征码进行定位。通过实验对病毒特征码位置进行验证,从而实现对变形病毒特征码的技术分析与定位。     

基于特征码技术的攻防策略

本文深入讨论了特征码技术在病毒攻与防中的运用策略及其发展趋势。实验中针对不同类型的病毒特征码进行手动定位、分析和验证,并通过修改、加壳和加密等技术手段达到免杀效果。如果将单一的特征码技术和主动防御相结合,就能在攻与防的对抗中取得更大的突破。     

基于BCH码的信息隐藏方法

基于信道编码的容错冗余特性,文章提出了一种利用BCH码实现信息隐藏的方法。在不改变载体的信源编码结构的前提下,利用伪随机序列调整嵌入步长,将秘密信息当做噪声随机地嵌入到载体的信道编码码流中,避免了传统信息隐藏方法中秘密信息嵌入位置集中的问题。理论分析和实验结果表明,当载体一定时,信道误码率越高,隐藏容量越小;载体信道编码的信息码长越短,隐藏容量越大;载体信道编码的纠错能力越强,隐藏容量越大。实验结果还表明,隐藏信息对载体的恢复并无显著影响。     

基于特征码的PE文件自动免杀策略

设计一种以逐块恢复法替代传统逐块替换法的特征码定位算法,在此基础上提出一种针对不同区段进行自动免杀的策略。将该策略与改进的多重特征码定位算法相结合,在保持被免杀软件原有功能的前提下,使用等价代码替换技术、字符串与输入表函数名位移等方法自动进行特征码的去除和替换,由此避免被杀毒软件识别为恶意软件。实验结果验证了该策略的有效性。     

基于戈莱码的真彩图像空域信息隐藏方法研究

（23,12）戈莱码真彩色图像空间域信息隐藏方法是一种以真彩色图像为载体,利用戈莱码编码冗余携带秘密信息的新的信息隐藏方法。对秘密信息进行映射编码形成错误图样,以真彩色图像块高位加扰信息为戈莱码的编码数据,将编码产生的校验数据有选择地嵌入真彩色图像块的低位数据中,然后根据错误图样修改个别处于低位的校验位,完成秘密信息的隐写。理论分析和实验结果表明,方法具有良好的隐蔽通信性能。     

基于BCH码和回声隐藏的音频水印技术

为提高回声隐藏方法中水印信息的提取效果和准确率,在原始载体基本不变化的基础上加大水印信息的嵌入量,提出了一种使用双向回声核来增加隐藏效果和嵌入量并对水印信息进行BCH编码以利于提高提取准确率的方法,利用功率倒谱方法来确定水印嵌入位置便于增加水印信息的提取率.仿真实验结果表明,该方法算法简单、执行效率高、水印隐藏效果好,在受到恶意攻击后提取出的水印信息的准确率远远高于原方法.     

基于Turbo码的信息隐藏技术的研究

文章首先介绍了Turbo码的编码结构和用于Turbo码迭代译码的最大后验概率译码算法;然后提出了在几种不同方案下Turbo码的信息隐藏技术,对隐藏信息前后的译码效果进行了理论分析最后通过实验对各种隐藏方案进行性能比较.     

基于Turbo码的信息隐藏技术的研究

文章首先介绍了Turbo码的编码结构和用于Turbo码迭代译码的最大后验概率译码算法;然后提出了在几种不同方案下Turbo码的信息隐藏技术,对隐藏信息前后的译码效果进行了理论分析;最后通过实验对各种隐藏方案进行性能比较。     

误码校正码在信息隐藏中的应用

在信息隐藏技术不断发展的过程中,隐藏分析技术也在不断地进步,信息隐藏的分析和攻击者们发现:在对某个载体对象嵌入秘密信息后,载体对象的某些特征会发生改变,当这种改变达到某种程度时就可以确定某个载体对象中含有秘密信息.因此,在设计一个信息隐藏算法时应尽量考虑减少由于秘密信息的嵌入而带来的载体对象某种特征的改变程度.简要介绍了误码校正码及信息隐藏的概念,并提出了一种在信息隐藏的过程中引入误码校正码来减小载体对象在隐藏信息前后差异的方法.     

基于控制流分析的隐藏代码动态捕获方法

为获取并分析采用加壳、控制流混淆技术所产生的隐藏代码,提出一种新的隐藏代码动态捕获方法。利用静态控制流分析算法提取动态捕获点,采用动态二进制插桩技术插入监控代码,在程序的执行过程中实现隐藏代码的执行前分析。实验结果证明,该方法能够减少程序插桩点,有效获取并分析可执行程序中的隐藏代码。     

一种基于本地化特征的恶意代码检测系统设计

随着网络安全技术的发展,计算机病毒已经不能够准确描述安全事件,提出了用恶意代码来描述,由于恶意代码的多样性,目前的恶意代码检测技术不能满足需要。在对恶意代码特征研究的基础上,提出了基于本地化特征的恶意代码检测技术。恶意代码要获取执行的机会,必然要进行本地化设置,对恶意代码的本地化特点进行了研究,在此基础上设计出了一种基于本地化特征的恶意代码检测系统,并进行了测试,结果证明基于本地化特征的恶意代码检测方法是一种有效的方法。     

基于行为特征的恶意代码检测方法

研究基于行为特征的恶意代码检测模型及其实现方式,并分析实现中的关键技术。使用自定义行为特征编码模板进行恶意代码匹配,将短周期内2次匹配成功作为判定恶意代码的标准,利用最大熵原理分析2次恶意代码行为的信息论特征。实验结果表明,该方法具有较低的病毒检测误报率和漏报率,并且能有效防范未知恶意代码。     

基于符号特征的QR码识别算法

在传统QR码识别算法基础上,提出一种利用QR码自身的符号特征进行识别定位的改进算法。对采集到的图像进行二值化处理,由符号特征定位QR码在采集图像中的位置,通过改进的双线性变换校正在采集过程中引起的图像几何形变,并通过逐模块垂直投影提取条码信息。实验结果表明,该算法具有识别时间短、识别率高等特点。     

基于智能特征码的反病毒引擎设计

针对传统反病毒引擎的体系结构难于扩展的缺点,通过分析其数学模型,提出新的基于触发检测逻辑的反病毒引擎模型,实现相应的原型系统。利用增加特征码的语义来抽取固化的检测逻辑,提高反病毒引擎的可扩展性,增强对新病毒及病毒变种的检测能力。实验结果证明,该引擎可以检测出11种常见病毒的变种,具有较高的准确性。     

基于源码分析的多核操作系统研究与人才培养实践

多核已成为处理器的主流,在传统的操作系统教学中引入操作系统如何支持多核的内容十分必要。本文从多核操作系统启动流程分析和多核操作系统调度两方面介绍基于源码分析的研究方法,借助现有的文献资料,学生不仅加深了对操作系统抽象概念的理解,也可以优化和修改内核。该方法目标准确,避免了盲目性。实践经验表明,经过几个月的高强度训练,学生的能力提升明显。     

一种基于特征矩阵的软件脆弱性代码克隆检测方法

提出了一种基于特征矩阵的软件代码克隆检测方法.在此基础上,实现了针对多类脆弱性的检测模型.基于对脆弱代码的语法和语义特征分析,从语法分析树抽取特定的关键节点类型描述不同的脆弱性类型,将4种基本克隆类型细化拓展到更多类,通过遍历代码片段对应的语法分析树中关键节点的数量,构造对应的特征矩阵.从公开漏洞数据库中抽取部分实例作为基本知识库,通过对代码进行基于多种克隆类型的聚类计算,达到了从被测软件代码中检测脆弱代码的目的.与基于单一特征向量的检测方法相比,对脆弱性特征的描述更加精确,更具有针对性,并且弥补了形式化检测方法在脆弱性类型覆盖能力上的不足.在对android-kernel代码的测试中发现了9个脆弱性.对不同规模软件代码的测试结果表明,该方法的时间开销和被测代码规模成线性关系.     

Visual Similarity Based Document Layout Analysis

In this paper, a visual similarity based document layout analysis （DLA） scheme is proposed, which by using clustering strategy can adaptively deal with documents in different languages, with different layout structures and skew angles. Aiming at a robust and adaptive DLA approach, the authors first manage to find a set of representative filters and statistics to characterize typical texture patterns in document images, which is through a visual similarity testing process. Texture features are then extracted from these filters and passed into a dynamic clustering procedure, which is called visual similarity clustering. Finally, text contents are located from the clustered results. Benefit from this scheme, the algorithm demonstrates strong robustness and adaptability in a wide variety of documents, which previous traditional DLA approaches do not possess.