《多态蠕虫产生器毕业设计论文》由会员分享,可在线阅读,更多相关《多态蠕虫产生器毕业设计论文(43页珍藏版)》请在金锄头文库上搜索。
1、毕业论文(设计)题 目多态蠕虫产生器的设计与实现学生姓名指导教师学 院专业班级完成时间摘要网络蠕虫是一种可以独立运行且可以进行自我复制传播的程序,它的危害性非常大,每次爆发都给社会带来了极大的经济损失。目前网络蠕虫的发展呈现出速度更快、目的性更强和技术更先进的特点。同时计算机专家也在不断研究抵御蠕虫攻击的方法,然而多态蠕虫的出现对抵御研究提出了新的要求,如何了解多态蠕虫的发作原理和抵御方法,就是蠕虫研究的关键。本文首先对网络蠕虫进行研究,并分析得出了蠕虫的实体结构、蠕虫的统一功能结构模型、蠕虫的工作流程、特征码检测技术以及多态变形技术。本文在此基础上,采用C-Free和C#相结合,设计了一个多
2、态蠕虫发生器,主要包含了免杀代码植入模块、花指令替换模块、加密模块、解密模块和杀毒软件检测模块,其余辅助模块有扫描检测模块、代码查看模块和输出模块等。本文通过多态蠕虫发生器这几个模块,实现了对蠕虫源代码的扫描检测、多态变形以及模拟防病毒软件查杀,同时可以很好地演示蠕虫在多态变形前后的变化,以及躲避防病毒软件查杀的效率,并且操作界面友好,容易理解和上手操作,多态变形前后的变化透明可见。关键词蠕虫,病毒,多态,溢出攻击,产生器ABSTRACTInternet worms are programs which run independently and can copy themselves to
3、other hosts automatically. Its huge destructive ability brings society great economic loss every time it breaks out. Especially future worms will have higher propagation speed, more definite purpose and more advanced techniques.While computer experts continually research against worms attacks, howev
4、er polymorphic worms occur against of new requirements, how to understand the polymorphic worms attack and defeat the principle is the key to the study of the worm. search.In the thesis,we conduct a study on Internet worm first.We introduced the entity construction,uniform function model,the working
5、 process of Internet worms,behavior characteristics and polymorphic techniques. On this basis, this paper designed a polymorphic worm generator with C-Free and C#, mainly contains free killing code module, taking junk instruction replace module, encryption module, decryption module, and anti-virus s
6、oftware detection model.The remaining auxiliary modules have scaning modules, viewing code module and output modules, etc. In this paper, the module of these polymorphic worm generator module to realize the source code of the worm scan, polymorphic deformation and analog anti-virus software killing,
7、 and worms can be a good demonstration of polymorphic changes before and after deformation, and to avoid anti-virus software pieces of killing efficiency.The generator has friendly interface and it is easy for us to understand and get started operations,and also it is transparent to understand the c
8、hanges before and after deformation.KEY WORDSworm, virus, polymorphic, overflow attack, generator目录摘要IABSTRACTII第一章绪论11.1 蠕虫的研究背景11.1.1 蠕虫与病毒的定义11.1.2 蠕虫的基本特征31.1.3 蠕虫的功能结构51.1.4 蠕虫的传播策略61.2 蠕虫与病毒领域的研究现状71.3 课题的研究意义和目的81.4 本文章节安排9第二章蠕虫与多态蠕虫的概述及实例分析102.1 蠕虫的实体结构和功能结构102.1.1 蠕虫的实体结构102.1.2 基本功能模块112.1
9、.3 扩展功能模块112.1.4 蠕虫的工作流程122.1.5特征码检测技术122.2 多态变形技术的概念132.2.1 什么是多态变形技术132.2.2 常见的多态变形技术142.2.3 多态变形病毒实例分析Win98.BlackBat152.3 本章小结19第三章多态蠕虫产生器的设计203.1 针对缓冲区溢出蠕虫的多态变形设计203.1.1 缓冲区溢出攻击的基本原理203.1.2 蠕虫王病毒的分析223.2 多态蠕虫产生器的模型结构223.2.1 多态蠕虫产生器的模型结构图223.2.2 多态蠕虫产生器各模块设计233.3 本章小结29第四章多态蠕虫产生器的实现304.1 功能实现304.
10、1.1 功能简介304.1.2 多态蠕虫发生器详细介绍304.2 多态蠕虫产生器的功能测试324.2.1 测试过程分析324.2.2 测试结果分析354.3 本章小结36第五章结束语37致谢38参考文献39第一章绪论1.1 蠕虫的研究背景早期恶意代码的主要形式是计算机病毒。1988年“Morris”蠕虫爆发后,Spafford为了区分蠕虫和病毒,对病毒重新进行了定义,他认为:“计算机病毒是一段代码,能把自身加到其他程序包括操作系统上;它不能独立运行,需要由它的宿主程序运行来激活它”。而网络蠕虫强调自身的主动性和独立性。Kienzle和Elder从破坏性、网络传播、主动攻击和独立性四个方面对网络
11、蠕虫进行了定义:网络蠕虫是通过网络传播,无须用户干预能够独立地或者依赖文件共享主动攻击的恶意代码。根据传播策略,他们把网络蠕虫分为三类:E-mail蠕虫、文件共享蠕虫和传统蠕虫。郑辉认为蠕虫具有主动攻击、行踪隐蔽、漏洞利用、造成网络拥塞、降低系统性能、产生安全隐患、反复性和破坏性等特征,并给出相应的定义:“网络蠕虫是无须计算机使用者干预即可运行的独立程序,它通过不停地获得网络中存在漏洞的计算机的部分或全部控制权来进行传播。”该定义包含了Kienzle和Elder定义的后两类蠕虫,不包括E-mail蠕虫。2003年10月的世界蠕虫会议上,Schechter和Michael D. Smith提出了
12、一类新型网络蠕虫,Access For Sale蠕虫,这类蠕虫除上述定义的特征之外,还具备身份认证的特征。综合上述分析,我们认为“网络蠕虫是一种智能化、自动化,综合网络攻击、密码学和计算机病毒技术,无须计算机使用者干预即可运行的攻击程序或代码,它会扫描和攻击网络上存在系统漏洞的节点主机,通过局域网或者国际互联网从一个节点传播到另外一个节点”。此定义体现了新一代网络蠕虫智能化、自动化和高技术化的特征。1.1.1 蠕虫与病毒的定义1 蠕虫的原始定义早期恶意代码的主要形式是计算机病毒。1988年“Morris”蠕虫爆发后,Spafford为了区分蠕虫和病毒,对病毒重新进行了定义,他认为:“计算机病毒
13、是一段代码,能把自身加到其他程序包括操作系统上;它不能独立运行,需要由它的宿主程序运行来激活它”。而网络蠕虫强调自身的主动性和独立性。Kienzle和Elder从破坏性、网络传播、主动攻击和独立性四个方面对网络蠕虫进行了定义:网络蠕虫是通过网络传播,无须用户干预能够独立地或者依赖文件共享主动攻击的恶意代码。根据传播策略,他们把网络蠕虫分为三类:E-mail蠕虫、文件共享蠕虫和传统蠕虫。郑辉认为蠕虫具有主动攻击、行踪隐蔽、漏洞利用、造成网络拥塞、降低系统性能、产生安全隐患、反复性和破坏性等特征,并给出相应的定义:“网络蠕虫是无须计算机使用者干预即可运行的独立程序,它通过不停地获得网络中存在漏洞的
14、计算机的部分或全部控制权来进行传播。1”该定义包含了Kienzle和Elder定义的后两类蠕虫,不包括E-mail蠕虫。2003年10月的世界蠕虫会议上,Schechter和Michael D. Smith提出了一类新型网络蠕虫,Access For Sale蠕虫,这类蠕虫除上述定义的特征之外,还具备身份认证的特征。综合上述分析,我们认为“网络蠕虫是一种智能化、自动化,综合网络攻击、密码学和计算机病毒技术,无须计算机使用者干预即可运行的攻击程序或代码,它会扫描和攻击网络上存在系统漏洞的节点主机,通过局域网或者国际互联网从一个节点传播到另外一个节点”。此定义体现了新一代网络蠕虫智能化、自动化和高
15、技术化的特征。2 病毒的原始定义人们在探讨计算机病毒的定义时,常常追溯到David Gerrold在1972年发表的科幻小说When Harlie Was One,但计算机病毒的技术角度的定义是由Fred Cohen在1984年给出的,“计算机病毒是一种程序,它可以感染其它程序,感染的方式为在被感染程序中加入计算机病毒的一个副本,这个副本可能是在原病毒基础上演变过来的。”1988年,Morris蠕虫爆发后,Eugene H. Spafford 为了区分蠕虫和病毒,将病毒的含义作了进一步的解释。“计算机病毒是一段代码,能把自身加到其它程序包括操作系统上。它不能独立运行,需要由它的宿主程序运行来激活它。”3 蠕虫定义的进一步说明在上面提到的蠕虫原始定义和病毒原始定义中,都忽略了相当重要的一个因素,就是计算机使用者,定义中都没有明确描述计算机使用者在其整个传染机制中所处的地位。计算机病毒主要攻击的是文件系统,在其传染的过程中,计算机使用者是传染的触发者,是传染的关键环节,使用者的计算机知识水平的高低常常决定了病毒所能造成的破坏程度。而蠕虫主要利用计算机系统漏洞(vulnerability)进行传染,搜索到网络中存在漏洞的计算机后主动进行攻击,在传染的过程中,
