(35.175.212.130) 您好!臺灣時間:2021/05/15 10:03
字體大小: 字級放大   字級縮小   預設字形  
回查詢結果

詳目顯示:::

我願授權國圖
: 
twitterline
研究生:劉昱賢
研究生(外文):Liu, Yu-Hsien
論文名稱:惡意程式系統偵測實作–以檔案型病毒為例
論文名稱(外文):Implementation of MalwareDetection System – A Case Study ofFile-Type Viruses
指導教授:鄭慕德
指導教授(外文):Jeng, Mu-Der
口試委員:譚仕煒潘彥良溫員林鄭慕德
口試委員(外文):Tan, Shih-WeiPan, Yen-LiangWen, Yuan-LinJung, Mu-Der
口試日期:2016-07-13
學位類別:碩士
校院名稱:國立臺灣海洋大學
系所名稱:電機工程學系
學門:工程學門
學類:電資工程學類
論文種類:學術論文
論文出版年:2016
畢業學年度:104
語文別:中文
論文頁數:99
中文關鍵詞:記憶體傾印惡意程式
外文關鍵詞:DLL InjectionYara RuleMemory ForensicMalware
相關次數:
  • 被引用被引用:0
  • 點閱點閱:191
  • 評分評分:
  • 下載下載:0
  • 收藏至我的研究室書目清單書目收藏:0
惡意程式的成長速度已讓傳統的防毒軟體防不勝防,變種的木馬、病毒會利用反偵測技術規避動態分析、靜態分析及沙盒查殺,部分具有DLL Injection功能及遠端下載Payload的惡意程式更是難以偵測,且電腦主機也無法安裝多種防毒軟體達到多重防護效果。
雖然如此,再刁鑽的惡意程式還是必須放置隨取記憶體中才可執行惡意程式行為,故本研究利用記憶體鑑識技術將系統執行中的程式執行序傾印出來,此方法可有效防止上述變種惡意程式利用DLL Injection等技術,規避多數防毒軟體廠商只針對檔案進行掃描,再藉由Yara Rule病毒資料庫及Virus Total,進行檔案雜湊值比對是否含有惡意程式字串,最後利用掃描結果進行自我成長,持續更新原病毒資料庫。
本論文以偵掃檔案型病毒為例,建置惡意程式偵測系統,其核心架構分為三個模組,分別為記憶體傾印模組(Memory Forensics Module)、特徵碼比對模組(Characteristic Check Module)及更新模組(Update Module)。
本論文研製之惡意程式偵掃系統,並不會與使用者本身的防毒軟體有任何衝突現象產生,藉由利用本系統達到更完善的防護效果,讓使用者有更安全的電腦環境。

The traditional anti-virus software is hard to defend against the growing rate of malware. Mutant Trojan and virus might have the capabilities to circumvent dynamic analysis, static analysis and sandbox by exploiting anti-virus detection technologies. The malware with DLL Injection and remote download Payload are even harder to be detected. Besides, computers are not feasible to deploy multi-protection by installing multiple-antivirus softwares.
However, the malicious programs can only be executed when they are loaded in random access memory. Therefore, this study will demonstrate how to acquire system dump out from the program execution sequence by the use of memory forensics technology. This method can effectively prevent the polymorphic malwares mentioned above from using DLL Injection technology which avoid them being detected by most commercial anti-virus softwares .In this work then utilize Yara Rule and Virus Total to match out specific Malware program strings, and to automatically update their own virus database at the same time if any virus is identified.
In this thesis, based on a case study of file-type virus detection, a prototype system was built. The structure of the core system (Malware Detection System, MDS) is divided into three parts, i.e., Memory Forensics Module, Characteristic Check Module and Update Module.
The malware detecting system developed in this work will not conflict with users’ anti-virus software. Therefore , with the help of the MDS the protection and security level of users’ computer environment can be optimized .

謝辭 I
摘要 II
ABSTRACT III
目錄 IV
表目次 VI
圖目次 VII
第一章緒論 1
1.1研究背景與動機 1
1.2研究目的 2
1.3論文貢獻 4
1.4論文架構 4
第二章背景知識與技術研究 6
2.1近代常見惡意程式威脅種類 6
2.1.1特洛伊木馬與後門 6
2.1.2病毒與蠕蟲 8
2.2惡意程式分析原理 9
2.2.1靜態分析 10
2.2.2動態分析 12
2.2.3記憶體傾印分析 18
2.3進階持續性威脅攻擊 20
2.4 YARA RULE 24
2.4.1YARA RULE編寫簡述 24
2.4.2 YARA支援平台 25
2.4.3 YARA使用者 25
第三章系統設計與實作 27
3.1系統架構 27
3.1.1記憶體傾印模組(MEMORY FORENSICS MODULE) 28
3.1.2特徵碼比對模組(CHARACTERISTIC CHECK MODULE) 30
3.1.3更新模組(UPDATE MODULE) 34
3.2系統流程 35
3.2.1記憶體傾印模組實現說明 36
3.2.2特徵碼比對模組實現說明 37
3.2.3更新模組實現說明 39
第四章系統測驗 42
4.1實驗環境與環境參數 42
4.2實驗說明 43
4.3實驗結果與分析 43
第五章結論與未來展望 83
5.1研究結論 83
5.2未來展望 83
參考文獻 85

[1] http://www.wikiwand.com/zh-tw/谷歌退出中国大陆事件,wikiwand
[2] http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=7372 ,資安 人
[3]https://zh.wikipedia.org/wiki/索尼影业遭黑客攻击事件,維基百科
[4]https://zh.wikipedia.org/wiki/反高中課綱微調運動,維基百科
[5]http://technews.tw/2016/04/26/ukraine-power-system-phishing-information-
security-protection/,科技新報
[6]http://tech.smallya.net/2016/01/11/cryptolocker-的勒索軟體(ransomware)解鎖方法/,YA-迪克
[7]https://usa.kaspersky.com/internet-security-center/threats/trojans,Kaspersky Lab
[8]http://www.nuu.edu.tw/UIPWeb/wSite/ct?xItem=61282&ctNode=11723&mp=56 ,國立聯合大學資訊安全宣導網站
[9]EC-council CEH V8 Official Course
[10]林添財(2012),「社交網站惡意程式分析:以Koobface為例」,國立雲林科技大學資訊管理系所碩士論文。
[11]http://www.ytblacker.cn/post/38b021_763bbe7
[12]http://caryhsu.blogspot.tw/2011/11/net-windbg.html
[13] http://mis.bankshung.net/2012/10/blog-post_5917.html
[14]柯博淞、林曾祥、王旭正、左豪官 (2014) ,「數位鑑識之無痕瀏覽器證據調查研究」,Journal of e-Business,第16卷,第1期,頁85-106。
[15]http://adsl.hinet.net/news/detail/16/979/認識apt先進持續性威脅
[16]skyEye天眼實驗室 (2015) ,「APT 2015 高級持續性威脅研究報告」。 [17]Symantec (2014) ,「網路安全威脅研究報告2014」,第19期,頁28。
[18]http://sec.chinabyte.com/419/12863919.shtml ,比特網
[19]陳鴻吉 (2014),「惡意程式識別與分類(下)」,國家資通安全科技中心
[20]Kevin Coogan,SaumyaDebray,TasneemKaocharand Gregg Townsend“Automatic Static Unpacking of Malware Binaries”,IEEE2009 16th Working Conference on Reverse Engineering,p. 167-176,2009.
[21]Cameron H. Malin, Eoghan Casey, James M. Aquilina, 2007, Malware Forensics: Investigating and Analyzing Malicious Code.
[22]Igor Korkin, &Ivan Nesterov. (2014). Applying Memory Forensics To Rootkit Detection
[23]David Dunkel (2015).Catch Me If You Can: How APT Actors Are Moving ThroughYour Environment Unnoticed [Online] .Available:http://blog.trendmicro.com/catch-me-if-you-can-how-apt-actors-are-moving-through-your-environment-unnoticed/

連結至畢業學校之論文網頁點我開啟連結
註: 此連結為研究生畢業學校所提供,不一定有電子全文可供下載,若連結有誤,請點選上方之〝勘誤回報〞功能,我們會盡快修正,謝謝!
QRCODE
 
 
 
 
 
                                                                                                                                                                                                                                                                                                                                                                                                               
第一頁 上一頁 下一頁 最後一頁 top