论文部分内容阅读
动态嵌入式木马文件是由实现木马功能的代码加上一些特殊代码写成的DLL文件,并嵌入到进程中实现恶意功能。由于动态嵌入式木马具有良好的隐藏性,该木马经常被用来盗取银行或网络游戏的帐号和密码,给用户带来巨大的经济损失。因此,动态嵌入式木马检测研究具有很大的实用价值。该文首先介绍了对动态嵌入式木马研究的目的和意义,动态嵌入式木马的概念,接着论述了动态嵌入式木马的类型和木马的嵌入流程,然后分析了当前动态嵌入式木马检测方法的优点与不足,提出采用文件静态信息检测动态嵌入式木马的方法。该方法通过分析动态嵌入式木马文件与合法DLL文件的静态信息,提取出能够区分二者文件的静态信息,然后利用决策树分类方法构造检测模型。最后设计了一个简单的木马检测系统,并通过实验进行测试。结果表明,该检测机制可以有效的检测超过90%的木马文件。