计算机病毒行为特征的检测方法
计算机病毒特征码提取与匹配方法
计算机病毒特征码提取与匹配方法计算机病毒是一种危害计算机系统安全的恶意软件,为了有效地对抗病毒攻击,科研人员们开发了各种病毒特征码提取与匹配方法。
本文将介绍这些方法的基本原理和应用情况。
1. 特征码提取方法在对抗计算机病毒的过程中,提取病毒的特征码是非常重要的一步。
病毒特征码是病毒样本的数字化表示,通过分析病毒的行为和结构等信息提取而得。
常见的特征码提取方法包括静态特征码提取和动态特征码提取两种。
静态特征码提取是通过对病毒程序的文件头、代码段、字符串等部分进行分析,提取出病毒的特征信息。
动态特征码提取则是在运行时监控病毒程序的行为,提取出其运行时的行为特征。
两种方法结合使用可以更全面地提取病毒的特征信息。
2. 特征码匹配方法特征码匹配是指将提取出的病毒特征码与已知病毒数据库进行比对,以判断某个文件是否携带病毒。
特征码匹配方法的核心是建立一个高效的病毒特征数据库,并设计有效的匹配算法。
常见的特征码匹配方法包括哈希匹配、字符串匹配和模式匹配等。
哈希匹配是通过计算文件的哈希值与已知病毒特征码的哈希值进行比对,字符串匹配则是通过查找文件中特定的字符串序列进行匹配,而模式匹配则是通过对文件的二进制数据进行模式匹配来识别病毒。
3. 应用情况病毒特征码提取与匹配方法在计算机安全领域得到了广泛的应用。
各大安全厂商都会建立自己的病毒特征数据库,并利用特征码提取与匹配方法来检测和清除计算机病毒。
此外,病毒特征码提取与匹配方法也被广泛应用于网络安全、移动安全等领域。
总之,计算机病毒特征码提取与匹配方法是对抗计算机病毒的重要手段,通过不断的研究和改进,可以更好地保护计算机系统的安全。
希望本文对读者对该主题有所了解和启发。
计算机病毒特征码提取与匹配方法
计算机病毒特征码提取与匹配方法计算机病毒作为一种危害信息安全的恶意软件,在网络空间中广泛存在。
为了有效应对病毒的威胁,专家们研发了各种病毒检测与防御技术。
其中,计算机病毒特征码的提取与匹配方法是一项重要的技术,本文将介绍其工作原理与应用。
一、计算机病毒特征码的概念与意义计算机病毒特征码是指用于描述和识别特定病毒样本的一组字符串、二进制序列、模式或数字特征。
特征码能够准确地识别病毒,帮助杀毒软件及时发现和清除病毒。
因此,提取和匹配病毒特征码是病毒检测和防御的关键技术之一。
二、计算机病毒特征码的提取方法1. 静态特征码提取方法静态特征码提取方法是通过对病毒程序的静态分析,提取其中的特征码。
常见的静态特征码包括指令序列、字符串、函数调用等。
这些特征码通常通过特定的算法提取出来,并存储在病毒库中供后续匹配使用。
2. 动态特征码提取方法动态特征码提取方法是通过对病毒程序的动态行为进行监测和分析,提取其中的特征码。
通过监测病毒程序的内存状态、注册表修改、网络通信等信息,动态特征码提取方法能够获得病毒样本在运行时产生的特征。
三、计算机病毒特征码的匹配方法1. 精确匹配方法精确匹配方法是指将待检测样本的特征码与病毒库中存储的特征码进行逐一比对,当检测到完全一致的特征码时,即可判断为病毒。
这种匹配方法的优点是准确性高,但对病毒库的规模和更新速度要求较高。
2. 模糊匹配方法模糊匹配方法是指将待检测样本的特征码与病毒库中存储的特征码进行模糊比对,找出相似度高于一定阈值的特征码,并判断为病毒。
这种匹配方法的优点是能够检测出变种病毒,但准确性相对较低。
四、计算机病毒特征码提取与匹配方法的应用计算机病毒特征码提取与匹配方法在病毒检测与防御方面发挥着重要作用。
通过建立庞大而准确的病毒库,研发人员能够及时识别新出现的病毒,并快速更新杀毒软件。
此外,特征码提取与匹配方法还被广泛应用于入侵检测、恶意软件分析等领域。
总结:计算机病毒特征码的提取与匹配方法是一项重要的病毒检测与防御技术。
恶意软件检测
恶意软件检测恶意软件是指具有恶意目的的计算机程序,包括病毒、木马、蠕虫、间谍软件等。
它们会给用户带来不便甚至造成财产损失。
为了保护计算机和个人信息的安全,及时发现和清除恶意软件非常重要。
本文将介绍恶意软件检测的方法和工具。
一、常见的恶意软件检测方法1. 病毒库检测:病毒库是由安全厂商建立和维护的一个数据库,包含了已知的病毒特征。
病毒库检测通过比对计算机系统中的文件和程序与病毒库的特征,来判断是否存在已知的恶意软件。
这是一种常见且有效的检测方法。
2. 行为监测:恶意软件在感染计算机后会表现出一些特殊的行为,如修改系统文件、创建新文件、发送垃圾邮件等。
行为监测通过分析计算机的行为和操作记录,检测出是否存在异常行为,从而判断是否有恶意软件的存在。
3. 网络流量监测:恶意软件通常会通过网络与外部服务器进行通信,传输有害信息或接收远程指令。
通过监测计算机与外部服务器的网络流量,检测出是否存在恶意软件。
这种方法在网络安全领域应用广泛。
二、恶意软件检测工具推荐1. 杀毒软件:杀毒软件是一种常见的恶意软件检测工具,如Windows Defender、卡巴斯基、诺顿等。
它们通过病毒库检测和行为监测等方法,实时监测和防护计算机系统,及时清除潜在的恶意软件。
2. 防火墙:防火墙可以监控网络流量、过滤恶意网络请求,是保护计算机免受网络攻击和恶意软件侵扰的重要工具。
常见的防火墙有Windows防火墙、360安全卫士等。
3. 恶意软件扫描工具:除了杀毒软件和防火墙外,还有一些专门针对恶意软件检测的扫描工具,如Malwarebytes、AdwCleaner等。
它们能够检测和清除计算机中的恶意软件,提供更加全面的保护。
三、如何防范恶意软件除了及时检测和清除恶意软件外,预防恶意软件的感染也是非常重要的。
以下是一些防范恶意软件的建议:1. 安装可信的软件:避免从不明来源下载和安装软件。
只从官方网站或可信渠道下载软件,并确保软件的来源可靠。
如何通过网络流量分析来检测计算机病
如何通过网络流量分析来检测计算机病在现代社会中,计算机病毒的威胁越来越大。
为了保护我们的计算机安全,我们需要通过网络流量分析来检测计算机病毒的存在。
本文将介绍网络流量分析的基本原理和方法,以及如何利用这些方法来检测计算机病毒。
一、网络流量分析的基本原理网络流量分析是通过监视和分析网络上的数据流来了解网络运行情况的一种技术手段。
它主要包括以下几个方面的内容:1. 网络数据包捕获:通过软件工具(例如Wireshark)抓取网络中的数据包,并将其存储为数据文件。
2. 数据包解析与过滤:将捕获的数据包进行解析,提取关键信息,并根据需要进行过滤,去除无用的数据。
3. 流量分析与统计:对解析和过滤后的数据进行分析和统计,以了解网络的活动情况,包括网络流量的大小、流量的来源和目的地等。
4. 异常检测与报告:通过与正常网络流量进行比较,检测出异常的流量模式,并生成相应的报告。
二、网络流量分析的方法在进行网络流量分析时,可以采用多种方法来检测计算机病毒。
以下是几种常见的方法:1. 行为分析:通过观察网络流量的行为特征,如数据包的大小、频率和来源,来检测计算机病毒的存在。
当流量的行为与正常模式不符时,就可能存在计算机病毒。
2. 签名检测:利用病毒数据库中的病毒特征码(也称为签名)来检测网络流量中是否存在已知的病毒。
这种方法需要及时更新病毒数据库,以保证检测的准确性。
3. 异常检测:通过建立基线模型,对网络流量进行监控,当流量超出正常范围时,就可能存在异常。
可以利用统计方法或机器学习算法来进行异常检测。
4. 深度学习:利用深度学习算法对网络流量进行训练和分类,从而判断流量中是否含有病毒。
深度学习算法可以学习和识别复杂的模式和规律,提高检测的准确性。
三、如何利用网络流量分析来检测计算机病毒通过网络流量分析来检测计算机病毒,需要以下几个步骤:1. 数据采集:使用网络流量分析工具,如Wireshark,抓取网络中的数据包,并将其保存为文件。
计算机病毒检测技术
计算机病毒检测技术:计算机病毒检测第一:智能广谱扫描技术。
这一技术是为了躲避杀毒软件的查杀,通过对非连续性和转变性较大的病毒的所有字节进行分析,并且进行整合的一种高变种的病毒,被称为智能广谱扫描技术,这一技术是按照目前病毒的类型和形式的千变万化的情况研发而出的。
由于传统的病毒在目前一些杀毒软件中都有一定的资料,检测技术也就相对比较简单,那么为了使用杀毒软件找出病毒,必须要对进行改革,智能广谱扫描技术能够对病毒的每一个字节进行分析,在发现程序代码中的字节出现相同或者是相近的两个病毒编码就可以确定其为病毒。
这一技术的优点有准确性高,查找病毒速度快等优点,但是需要收集较多的信息,针对于新的病毒并没有杀毒功能,主要是针对已经存在的病毒进行杀毒。
计算机病毒检测第二:虚拟机技术。
虚拟机技术也就是用软件先虚拟一套运转环境,让病毒在虚拟的环境中进行,以此来分析病毒的执行行为,并且由于加密的病毒在执行的时候需要解密,那么就可以在解密之后通过特征码来查杀病毒,在虚拟的环境中病毒的运转情况都被监控那么在实际的环境中就可以有效的检测出计算机病毒。
虚拟机技术主要针对的是一些新生代的木马、蠕虫病毒等,这一技术具有提前预知性,识别速度较快等优点。
计算机病毒检测第三:特征码过滤技术。
在病毒样本中选择特征码,特征码在一般情况下选得较长,甚至可以达到数十字节,通过特征码对各个文件进行扫描,在发现这一特征码的时候就说明该文件感染了病毒。
一般在选择特征码的时候可以根据病毒程序的长度将文件分成几份,这能够有效的避开采用单一特征码误报病毒现象的发生,此外在选择特征码的时候要避开选出的信息是通用信息,应该具有一定的特征,还要避开选取出来的信息都是零字节的最后需要将选取出来的几段特征码,以及特征码的偏移量存入病毒库,再表示出病毒的名称也就可以。
特征码过滤技术具有检测准确快速,误报警率低,可识别病毒名称等优点,但是它也存在着一些缺点,例如:速度慢,不能够对付隐蔽性的病毒等,主要是针对已知病毒进行分析和记忆贮存。
分析计算机病毒的报告
分析计算机病毒的报告简介计算机病毒是一种恶意软件,它会感染计算机系统并破坏其正常运行。
本文将通过以下步骤分析计算机病毒的特征和行为。
步骤一:了解计算机病毒的定义和分类计算机病毒是一种能够自我复制并传播的恶意软件。
根据其功能和传播方式,计算机病毒可以分为多种类型,如文件病毒、引导病毒、宏病毒等。
步骤二:病毒的传播途径计算机病毒可以通过多种途径传播,包括电子邮件附件、可移动存储设备、恶意下载等。
病毒的传播途径通常利用用户的不注意或系统漏洞等因素。
步骤三:计算机病毒的特征与行为计算机病毒具有一些特征和行为,这些特征和行为有助于我们鉴别和分析病毒。
以下是一些常见的计算机病毒特征和行为:1.传播性:病毒能够自我复制并传播到其他计算机系统。
2.潜伏期:病毒在感染计算机后可能有一个潜伏期,此期间病毒不会表现出明显的症状或行为。
3.破坏性:某些病毒会破坏计算机系统、文件或数据。
4.欺骗性:某些病毒会伪装成合法的程序或文件,以欺骗用户执行它们。
5.启动方式:某些病毒会在计算机启动时自动激活。
步骤四:检测和防御计算机病毒为了检测和防御计算机病毒,我们可以采取以下措施:1.安装可靠的杀毒软件和防火墙,及时更新病毒库。
2.定期进行系统扫描,以便发现和清除潜在的病毒。
3.谨慎打开和下载来自不可信来源的文件和链接。
4.避免使用未经授权的软件和操作系统。
5.定期备份重要的文件和数据,以防止病毒感染造成数据丢失。
步骤五:处理感染的计算机系统如果计算机系统感染了病毒,我们可以采取以下步骤进行处理:1.隔离受感染的计算机,防止病毒进一步传播。
2.运行杀毒软件进行全面扫描和清除病毒。
3.恢复受感染的文件和系统,如果无法恢复,考虑重新安装操作系统。
4.加强安全措施,以防止未来的感染。
结论计算机病毒是一种严重威胁计算机系统安全的恶意软件。
通过了解病毒的定义和分类、传播途径、特征和行为,以及采取相应的防御和处理措施,我们可以更好地保护计算机系统免受病毒的侵害。
基于程序行为特征的病毒检测技术与应用
20 年 第 5 期 06
计 算 机 系 统 应 用
基 于 程序 行 为 特 征 的病毒 检测 技 术 与应 用
Th t d fAn i- r sE g n a e On t eAn lss OfViu e a i r e S u y o t —Viu n i e B s h ay i s B h v o s r
1 引言
以解 决此问题 。本 文从程序 行为特 点方面考 虑 , 由于
因此行为特征 近几年中计算机病毒正以惊人速度蔓延, 对计算 计算机病毒属于行为比较特殊的程序 , 并且属于更抽象层 机系统 安全构成严重威胁。早期计 算机病 毒没有使 用 可以区别病毒与正常计算机程序, 其敏感度较机器特征码会适度降低 。 引 自动变形技术, 具有固定特征码。因此, 反病毒软件利 次的特征 ,
王海峰 ( 临沂师范学院信息学院 山东临沂 260 ) 702
夏雷 薹孽 洪
2 5 7
孙 冰 ( 中国石油大学( 华东) 计算机 与通讯 工程 学院 276) 50 1
摘要: 分析计算机病毒行为特点, 在此基础上提出基于病毒行为特征的检测方法, 主要针对多态计算机病毒与变
种病毒 的检测。检 测主体思路 是分析病毒程序 , 取其 系统 A I 提 P 函数调用序列 , 生成代表病毒行为特征的检测向
量。然后通过计算向量之间相似性来决定待检测文件是否感染病毒。最后将此方法应用到反病毒引擎设计中。
实验 结果证 明了行为特征 向量检测有很好的应用前景 。
关键词 : 病毒行为 反 病毒 引擎 多态病毒 特征 向量
反病 毒软件 的检测策略是病毒特 征码检测法。 目
变化 , 其解密模板一般是固定的 , 可以提取 其特征码作
计算机病毒原理与防范-计算机病毒检测技术
校验和法
• 特点 • 方法 • 优缺点
行为监测法(实时监控法)
• 监测病毒的行为特征 • 病毒防火墙 • 优缺点
软件模拟法
• 变形病毒类型
– 第一类变形计算机病毒的特性:具备普通计算机病毒所具有的基本特性 – 第二类变形计算机病毒的特性:除了具备一维变形计算机病毒的特性外,
病毒分析法
• (1)确认被观察的磁盘引导区和程序中是 否含有计算机病毒。
• (2)确认计算机病毒的类型和种类,判定 其是否是一种新计算机病毒。
• (3)搞清楚计算机病毒体的大致结构,提 取特征识别用的字符串或特征字,用于增 添到计算机病毒代码库以供计算机病毒扫 描和识别程序用。
• (4)详细分析计算机病毒代码,为制定相 应的反计算机病毒措施制定方案。
感染实验法
• 检测未知引导型计算机病毒的感染实验法 • 检测未知文件型计算机病毒的感染实验法
算法扫描法
• 针对多形态的计算机病毒的算法部分进行 扫描
语义分析法
• 恶意代码的语义分析 • 语义反洗方法
虚拟机分析法
• 虚拟机的类型 • 虚拟执行 • 反计算机病毒的虚拟机运行流程 • 反虚拟机技拟技术又称为解密引擎、虚拟机技术、虚拟执行技术或软件仿真
技术 – 新型病毒检测工具
启发式代码扫描技术
• 启发式扫描通常应设立的标志 • 误报/漏报 • 如何处理虚警谎报 • 传统扫描技术与启发式代码分析扫描技术
的结合运用 • 其他扫描技术 • 启发式反毒技术的未来展望
4.4 计算机网络病毒的检测
• 计算机病毒入侵检测 • 智能引导技术 • 嵌入式杀毒技术 • 未知病毒查杀技术
4.5 计算机病毒检测的作用
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2012.437计算机病毒行为特征的检测分析方法谢辰国际关系学院 北京 100091摘要:在研究计算机病毒之前,如果我们能先对被研究病毒的行为特征有足够的了解,那么对于之后的反汇编代码分析以及查杀工作都会起到事半功倍的效果。
本文先介绍了计算机病毒行为特征,然后通过实验的方法,利用虚拟机和软件分析技术,从动态和静态两个角度,以new orz.exe 病毒为例,来阐述和总结检测分析计算机病毒行为特征的方法。
关键词:计算机病毒;行为特征;虚拟机;软件分析技术0 引言随着互联网技术的日渐普及和高速发展,全球化通信网络已经成为大势所趋。
但网络在提供巨大便利的同时,也存在种种安全隐患和威胁,其中危害最大影响最广的莫过于计算机病毒。
在网络带宽不断升级的今天,计算机病毒的传播速度和变种速度也随之加快,问题也越来越严重,引起了人们的广泛关注,并成为当前计算机安全技术研究的热点。
据国内外各大反病毒公司统计,2008 年截获的各类新病毒样本数已经超过1000万,日均截获病毒样本数万。
对于现如今计算机病毒变种的不断增加,反计算机病毒的一个研究方向便是怎样在不对病毒汇编代码分析的前提下,分析出已知或未知的计算机病毒的全部行为特征。
1 计算机病毒行为特征(1) 传染性传染性是计算机病毒最重要的特征,是判断一段程序代码是否为计算机病毒的依据。
计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。
是否具有传染性是判别一个程序是否为计算机病毒的重要条件。
(2) 非授权性病毒隐藏在合法程序中,当用户调用合法程序时窃取到系统的控制权,先于合法程序执行,病毒的动作、目的对用户是未知的,是未经用户允许的。
(3) 隐蔽性病毒一般是具有很高编程技巧、短小精悍的程序,它们一般附着在合法程序之中,也有个别的以隐含文件形式出现,目的是不让用户发现它的存在。
如果不经过代码分析,病毒程序与合法程序是不容易区别开来的。
(4) 潜伏性大部分的病毒传染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动破坏模块。
如著名的在每月26日发作的CIH 病毒。
(5) 破坏性病毒可分为良性病毒与恶性病毒。
良性病毒多数都是编制者的恶作剧,它对文件、数据不具有破坏性,但会浪费系统资源。
而恶性病毒则会破坏数据、删除文件或加密磁盘、格式化磁盘等。
(6) 不可预见性从对病毒检测方面看,病毒还有不可预见性。
不同种类的病毒,它们的代码千差万别。
虽然反病毒技术在不断发展,但是病毒的制作技术也在不断的提高,病毒总是先于相应反病毒技术出现。
(7) 可触发性计算机病毒一般都有一个或者几个触发条件。
如果满足其触发条件,将激活病毒的传染机制进行传染,或者激活病毒的表现部分或破坏部分。
病毒的触发条件越多,则传染性越强。
2012.4382 实验环境本文的实验环境为一台PC 机,其运行Windows XP SP3系统和装有Windows XP SP3系统的Vmvare7.0虚拟机,其中还有OllyDBG 、Filemon 、SReng2、Regshot 、SSM 在开始实验之前,我们先要确保虚拟机内的系统纯净,然后保存虚拟机的快照。
3 检测分析计算机病毒过程运行Regshot 进行注册表快照比较。
首先,运行Regshot 软件,然后选择日志输出路径后点击1st shot ,即对纯净系统下的注册表进行快照,之后不要退出程序,接下来运行我们要测试的new orz.exe ,再点击2stshot ,即对运行病毒后的注册表进行快照。
在第二次快照完成之后,点击compare 便会在IE 浏览器中显示出注册表的变化,由于该病毒修改表项过多,此处只展示一部分,如图1所示。
图1 病毒修改表通过报告我们知道new orz 共对注册表造成影响有541项,通过上图我们能够发现,此病毒对很多杀毒软件进行了映像劫持操作。
(1) 对使用系统端口进行比较在进行完注册表对比后,我们将虚拟机系统还原至纯净快照,运行CMD ,切换到C 盘根目录下,输入netstat –an >netstat1.txt ,这样做是保存纯净系统下系统所开端口的记录。
之后运行病毒文件,再次输入netstat –an >netstat2.txt 。
对比两个TXT 文档的变化,在这里,用的是UltraEdit 进行的比较。
通过比较我们发现在运行new orz.exe 之后,虚拟机有了一个端口为1401的TCP 链接,指向一个特定IP 的80端口,打开TCPview 软件,对所有TCP 链接进行监控后发现这个1401端口正是new orz.exe 打开用来与远程主机通信的。
(2) 用SReng2分析病毒样本静态行为再次将虚拟机还原到纯净快照处,这次我们要用到SReng2软件。
打开SReng2,点击左侧的智能扫描,然后开始扫描,保存扫描结果。
在运行病毒后再次运行SReng2,并保存扫描结果,用UE 对比两次结果。
我们能够发现在进程中多了new orz.exe 进程,同时发现其获得了SeDebugPrivilege 和SeLoadDriverPrivilege 权限,并且在有一个不是在C:\Windows\System32目录下的svchost.exe 也同样获得了这两个权限。
(3) 通过Filemon 观察病毒的操作在这里需要提前说明一点,根据前面的分析研究发现new orz.exe 病毒也对Filemon 进行了映像劫持,所以需要将主程序名更改一下方可正常运行。
同样,还原虚拟机至纯净快照,打开Filemon ,将过滤条件设置成为new orz.exe ,然后运行病毒程序。
由于信息量很大,只列举一部分,如图2所示,我们可以发现在其在C:\Documents and Settings\Administrator\Local Settings\Temp 目录下创建了绿化.bat ,还发现其在相同的目录下创建了svchost.exe 和urlmOn.dll 。
图2 病毒程序(4) OllyDBG 分析还原虚拟机系统,运行PEID 对new orz.exe 进行查壳,发现其使用的是WinUpack 0.39 final 的壳。
对其脱壳,脱壳过程不在这里进行说明了。
脱壳之后显示是VC6.0编写的。
将其载入OD ,查找字符串,结合我们刚才对new orz.exe 行为的分析,我们发现了其创建的绿化.bat 和修改的权限,图3是病毒对注册表的修改,我们可以发现其对大部分的杀毒软件都进行了映像劫持,同时还有任务管理器。
图3 病毒对注册表的修改2012.439(5) 通过HIPS 软件SSM 对病毒进行动态分析 与Filemon 一样,在用SSM 对病毒进行动态监控时,也需要将SSM 主程序更改名称。
最后一次将系统还原至纯净,安装SSM ,并将系统内的安全进程设为信任。
再次运行病毒,如图4,可以发现new orz.exe 运行了winlogon.exe ,之后services.exe 运行了Beep.sys 等等,在这里就不一一举例了。
图4 运行病毒4 总结本文通过对new orz.exe 计算机病毒为例,总结了使用虚拟机和软件行为分析技术对检测病毒行为的各个步骤:注册表快照对比、端口开放与通信对比、利用SReng2比较分析、通过使用Filemon 观察病毒文件操作、研究分析OD 字符串和使用HIPS 软件对病毒进行动态观察等,使得在接下来的查杀和今后的防御有了极大的帮助。
参考文献[1]彭国军,傅建明,张焕国.浅析反病毒技术现状挑战及发展趋势[J].信息网络安全.2009.[2]冯天树.计算机病毒行为特征分析[M].黑客防线2010. [3]艾天予.计算机病毒的攻防技术探析[J].2010.[4]高敏芳,王冬.WinPE 病毒实验方案设计[J].实验室科学.2009.The Method of Detection and Analysis of the Characteristics of the Computer Virus Behaviour Xie ChenUniversity of International Relationship,Beijing,100091,ChinaAbstract:Before the study of computer viruses,if we can have a sufficient understanding of the behavior of the virus characteristics,then it’s very helpful for the disassembled code analysis and the work after.This article describes the characteristics of the behavior of computer viruses,and then by experimental method,from the dynamic and static two aspects,use the virtual machine and software analysis technique,with the new orz.exe virus,for example,to illustrate and summarize the method of detection and analysis of the characteristics of the computer virus behavior. Keywords:computer viruses;behavioral characteristics;virtual machine; software analysis technique[上接8页]居名字。
作用:FITLER.EXE 通过这个控制代码,从IP 地址查询得到网上邻居的名字。
4 总结随着Internet 技术的发展,网络安全将会面临更加严峻的挑战。
本文从技术角度出发,对防火墙内部主要模块间的通讯技术进行了详细的分析和介绍,希望能对不同的用户提供参考。
参考文献[1]Keith E.Strassberg,Richard J.Gondek,Gary Rollie 等著.李昂等译.防火墙技术大全.北京:机械工业出版社.2003.[2]Terry William Ogletree 著.李之棠等译.防火墙的原理与实施.北京:电子工业出版社.2001.[3]博嘉科技.LINUX 防火墙技术探秘.北京:国防工业出版社.2002.[4]周宏,刘克勤.新型主机防火墙模型的研究.现代电力.2003.Personal firewall between modules within the system design and implementation of communication Xie XiuweiPeople's Bank of China Cangzhou Branch Technology Center,Hebei,061001,ChinaAbstract:It mainly analysis and design the internal communication of the firewall systems between the main module and interface,and details the interface code,the meaning and role of the parameters,with the most concise code improves the performance of packet filtering firewall,to better ensure network information security. Keywords:firewall;interface ;filter;module。