一种基于PE文件的信息隐藏方法的研究与实现

通过研究PE文件的格式,分析了目前存在的冗余空间进行信息隐藏的不足,利用PE文件资源结构提出一种基于PE文件的信息隐藏方法,通过将信息隐藏于PE文件资源节中,隐藏后PE文件的大小没有改变,而且也不破坏原PE文件的执行,最终达到将信息分散隐藏的目的,提高信息的隐蔽性.     

基于PE文件资源数据的信息隐藏方案

研究PE图标和位图资源存储格式及其特点,提出基于PE资源数据的信息隐藏方案。该方案利用PE文件的隐蔽性,采用有效的信息隐藏算法将秘密信息嵌入到PE资源数据中,提高信息隐藏的安全性和隐藏容量。针对PE图标和位图特点,提出一种新的调色板冗余颜色分配算法,提高基于调色板颜色冗余隐藏算法的嵌入量。     

基于虚拟机自省的隐藏文件检测方法

通过检测虚拟机内部的隐藏文件,检测工具可以及时判断虚拟机是否受到攻击.传统的文件检测工具驻留在被监视虚拟机中,容易遭到恶意软件的攻击.基于虚拟机自省原理,设计并实现一种模块化的虚拟机文件检测方法FDM. FDM借助操作系统内核知识,解析虚拟机所依存的物理硬件,构建虚拟机文件语义视图,并通过与内部文件列表比较来发现隐藏文件. FDM将硬件状态解析和操作系统语义信息获取以不同模块实现,不仅具备虚拟机自省技术的抗干扰性,还具备模块化架构的可移植性与高效性.实验结果表明, FDM能够准确快速地检测出虚拟机内部的隐藏文件.     

基于增量链接的PE文件信息隐藏技术研究

增量链接旨在提高编译速度和方便程序调试。通过分析采用增量链接后生成的PE文件的特点,提出了一种基于编译器增量链接特性的信息隐藏算法。该方案将隐秘信息隐藏在两个相邻函数代码之间的填充字节中,使得隐藏的信息与程序指令代码紧密结合在一起,极大地提高了隐蔽性和杭攻击性。实验结果表明:该算法隐藏容量大,隐藏信息后的PE文件的长度不会增加,程序性能不受影响,隐蔽性好。     

PE文件的信息隐藏方案与实现

论文从一个全新的角度来研究信息隐藏技术,首次将PE文件作为掩护媒体引入信息隐藏领域。在分析PE文件结构和PE文件实现信息隐藏原理的基础上,给出了基于PE文件的信息隐藏方案,分析表明PE文件完全可以作为掩护媒体。     

基于导入表迁移的PE文件信息隐藏技术研究

在分析PE文件导入表结构的基础上,利用Windows加载器的工作原理和PE文件导入表存储位置不确定性的特点,提出了一种迁移PE文件导入表并将信息隐藏在PE文件原导入表位置的信息隐藏算法。理论分析与实验结果表明,该算法较好地弥补了传统PE文件信息隐藏算法中隐藏信息过于集中、交换PE文件导入表数据结构元素将破坏隐藏信息的不足,提高了隐蔽性和抗攻击性。     

PE文件资源节的信息隐藏研究与方案实现

根据PE文件资源节的结构特点,总结了资源节中存在的四种冗余,并提出了一种新的信息隐藏方案。新方案综合了四种冗余的优势,采用转移冗余空间的方法,把信息分散隐藏在扩展的资源间的冗余中。分析表明,此方案与已有基于PE文件的信息隐藏方法相比,提高了信息隐蔽性和资源节空闲可利用率。     

基于PE文件无容量限制的信息隐藏技术研究

分析了现有的基于PE文件信息隐藏技术及其不足,提出一种以扩充.text节达到无容量限制的信息隐藏方案。通过对嵌入的信息进行加密、完整性校验、代码伪装、混合原代码等预处理,再根据预处理后的信息大小扩充.text节,并调整随后的各个节以及输入表的位置,以及PE头的各个相应标志的值,保证嵌入信息后的PE文件仍然能正常执行。实验表明,该方案不仅能达到无容量限制的信息隐藏,而且具有一定的隐蔽性和鲁棒性。     

基于Windows NT平台文件隐藏和检测系统的设计

在深入研究Windows环境下文件访问系统内部操作机制的基础上,总结了现有常用的文件隐藏和检测技术,并对这些技术进行了查找分析,提出了一种在驱动层对文件隐藏和检测的方案。该方案不仅可以对系统中的隐藏文件进行检测并恢复被隐藏的文件,满足用户对任何可疑文件夹内隐藏文件的检测功能,还可以实现对重要的文件在内核驱动层的隐藏功能,以保证用户文件信息的安全性。     

虚拟磁盘,隐藏文件终结者

隐藏重要文件的方法很多,但这些方法不是麻烦就是太复杂,笔者最近在网上发现了一个利用虚拟磁盘隐藏文件的方法,可以快速安全地隐藏不想让别人看到的文件。下面介绍出来和大家共享。     

一种基于信息熵的PE文件加壳检测方法

病毒文件经常加壳且壳的种类繁多,壳的特征经常变化。导致现有的基于特征库的壳检测软件经常失效,不能判断出一个文件是否加壳。提出一种基于信息熵的文件加壳检测算法,可以在壳特征经常变化的情况下,对文件是否加壳做出有效的判断。     

向PE文件中插入代码技术的研究

PE文件格式是Windows操作系统引入的可执行文件格式。论文介绍windows平台下PE文件的基本结构。重点阐述了在不重编译源码的前提下实现代码插入技术所涉及的基本任务:把代码插入到PE文件中可用的空闲空间或者在文件尾部添加一个新的节来插入代码;如何用一般方法钩住程序的控制和和重定位插入代码;插入代码如何获取对其有用的windowsAPI函数的地址。向PE文件插入外部代码技术的研究是很有价值的,它对反PE型病毒和软件加壳技术的研究都很有用。     

面向PE病毒检测的行为特征分析方法研究

目前,计算机病毒的存在成为了信息安全的一大威胁,其中以Windows32 PE文件为感染目标的PE病毒最为盛行,功能最强,分析难度也最大。对此,本文研究了一种面向PE病毒检测的行为特征分析方法,详细分析PE病毒执行过程中的关键行为特征、一般行为特征等,并以其十六进制行为字符串特征码作为PE病毒的检测依据,通过对可疑PE文件中字符串的匹配实现PE病毒的启发式检测。     

32位Windows系统下 PE文件的软件加密解密方法

PE文件格式（Portable Executable File Format）是32位Windows操作系统引入的可执行文件格式．本文介绍了PE文件的格式，对格式中重要的部分及其在Windows操作系统下的装入机制进行了详细的分析。最后提出了用软件对PE可执行文件的加密解密方法。     

基于过滤驱动的文件完整性检测技术

通过哈希算法计算和比较文件的摘要,通过文件过滤驱动方式从操作系统底层实现Windows文件完整性实时监控,使得文件完整性检查功能更加健壮。     

基于分类的未知病毒检测方法研究

文章提出了一种以PE文件静态信息作为特征,通过分类来对未知病毒进行检测的方法。采用初始聚类中心优化的K—means聚类算法实现对病毒文件的相似度检测,无需运行PE文件即可判定是否为病毒。该方法可以克服病毒特征码扫描技术无法识别未知病毒的缺点,且相对于API序列检测方法免去了对文件进行脱壳等复杂操作,明显提高了检测速度。实验结果表明分类检测方法具有较好的准确性,有一定的应用价值。     

一种基于事务模板的恶意事务检测方法

恶意事务检测是数据库入侵检测技术研究中的一个重要课题,而及时的恶意事务检测是构建可生存性DBMS的基础.在已有的恶意事务检测方法的基础上,通过扩展对SQL操作语句的解析粒度,给出了蕴含条件子句逻辑结构的细粒度SQL操作语句特征向量表示方法,并在此基础上给出包含事务语句有向图和事务执行环境约束集合的事务模板表示方法,最后,在给出事务模板支持判定算法的基础上,提出了一种基于事务模板的恶意事务检测算法.为了验证提出方法的有效性,针对事务执行性能、检测类型以及检测率进行实验,结果表明该恶意事务检测方法不仅具有较好的性能,同时具有更强的检测能力和更广的适用范围.     

基于决策树的二维码恶意网址检测方法

二维码技术应用已经进入大众生活,同时也逐渐成为恶意软件传播的新途径。面向二维码中URL,提出二维码恶意网址决策树智能检测方法。利用恶意网址和正规网址,提取网址特征,构建特征向量,进而构建决策树。进一步对网址特征提取及决策树选择进行了优化,实例测试结果表明系统在对恶意网址识别的响应速度和准确率方面取得了良好的效果。     

基于Minifilter的多层次文件操作行为提取技术研究

文章研究了对于不同层次的文件操作行为的提取及监控,旨在针对目前存在的绕过过滤驱动的检测方法进行改进,更加有效地针对恶意软件行为进行监控,多层次提取其文件操作的技术。文章首先概述了文件过滤驱动技术工作原理及当前应用现状,介绍了目前被广泛应用的微文件过滤驱动（Minifilter）技术的开发原理、步骤和应用领域。随后对文件操作的底层行为全过程进行了分析,并对Minifilter在其中的检测原理进行了相关介绍,对其安全性进行分析,提出当前能绕过过滤驱动检测的几种方法原理,包括通过增加过滤驱动以及Hook派遣函数等原理绕过过滤驱动,从而造成过滤驱动无法检测。列出了目前存在的从不同层次绕过过滤驱动的几种攻击方法,包括附着新的过滤驱动,直接访问内核,对底层文件结构的派遣函数进行不同的Hook等。针对其攻击原理进行分析,提出对应的检测方法。通过在原有Minifilter的基础上添加以上几种检测方法,可实现对目前存在的多种攻击手段进行多层次检测,从而添加相应的防护措施。在之后对改进后的过滤驱动进行功能及性能上的针对性测试中,表明改进后的检测驱动能利用更小的时间成完成更深层次的检测。因此,改进后的行为提取技术能绕过普通文件过滤驱动的恶意行为进行拓展检测,更深层次地提取恶意软件的文件操作行为,从而实现对目标程序的可疑文件操作进行更加全面的监控。