基于4级受信机制的可疑终端的恶意代码取证与分析

doi:10.3969/j.issn.1000-0801.2011.01.021

电信科学 ›› 2011, Vol. 27 ›› Issue (1): 105-109.doi: 10.3969/j.issn.1000-0801.2011.01.021

基于4级受信机制的可疑终端的恶意代码取证与分析

苗得雨,康学斌,肖新光

北京安天电子设备有限公司北京 10084

出版日期:2011-01-15 发布日期:2011-01-15
基金资助:
国家“863”计划基金资助项目

Analysis and Forensics of Malware in Suspicious Computer Based on Four Class Trust Model Abstract This paper analyzes the weaknesses and difficulties of traditional computer forensics technology in the field of analyzing the malicious code evidentiary，proposes a suspicious computer forensics model based on four class trust mechanism. It describes a static forensics method for the suspicious terminals and by large amounts of experiments，shows the feasibility，accuracy and efficiency of four class trust mechanism in the application of malicious code forensics.

Deyu Miao,Xuebin Kang,Xinguang Xiao

Beijing Antiy Electronic Equipment Co.，Ltd.，Beijing 100084，China

Online:2011-01-15 Published:2011-01-15

摘要/Abstract

摘要：

本文分析了传统计算机取证技术在分析恶意代码取证方面的薄弱环节和难点，提出了一个基于4级受信机制的计算机取证分析模型的可疑终端的恶意代码取证方法和以4级受信机制为基础的恶意代码分析原则。阐述了对可疑终端计算机的静态取证手段，并以4级受信体制为例，通过大量数据测试和验证，证明了4级受信应用在可疑终端的恶意代码取证中的可行性、准确率和效率。

关键词: 4级受信, 可疑终端, 恶意代码, 计算机取证, 受信机制

Abstract:

Key words: four class trust, suspicious terminal, malicious code, computer forensics, trust mechanism

苗得雨,康学斌,肖新光. 基于4级受信机制的可疑终端的恶意代码取证与分析[J]. 电信科学, 2011, 27(1): 105-109.

Deyu Miao,Xuebin Kang,Xinguang Xiao. Analysis and Forensics of Malware in Suspicious Computer Based on Four Class Trust Model Abstract This paper analyzes the weaknesses and difficulties of traditional computer forensics technology in the field of analyzing the malicious code evidentiary，proposes a suspicious computer forensics model based on four class trust mechanism. It describes a static forensics method for the suspicious terminals and by large amounts of experiments，shows the feasibility，accuracy and efficiency of four class trust mechanism in the application of malicious code forensics.[J]. Telecommunications Science, 2011, 27(1): 105-109.

图/表 4

图1

图2

图3

表1

无版本信息 && 加壳	可疑文件
无版本信息 &&delphi 程序	可疑文件
版本信息为微软 &&delphi 程序	可疑文件
版本信息为微软 && 未知壳	可疑文件
版本信息为微软 && 已知壳	可疑文件
文件为后台服务 && 加壳	可疑文件
文件为后台服务 && 新创建	可疑文件
文件为后台服务 && 文件名被篡改	可疑文件
文件被隐藏 && 文件名被篡改	可疑文件
无版本信息 && 可执行程序	可疑文件
无版本信息 &&system32 目录下	可疑文件
无版本信息 &&system32 目录下 && 新创建	可疑文件
System32 目录下 &&delphi 程序	可疑文件
System32 目录下 &&delphi 程序 && 无版本信息	可疑文件
有数字签名	可信文件

1	Symantec. The new model of consumer protection，
2	Robbins Judd . An explanation of computer forensics，
3	许榕生 . 计算机取证概述. 计算机工程与应用， 2001，21（7）
4	Wagner M E . Behavior oriented detection of malicious code at runtime. Florida：Florida Institute of Technology， 2004
5	魏强 . 基于机构化指纹的恶意代码变种分析. 计算机应用研究， 2008，25（3）
6	Introduction to code signing，

[1]	陈铁明, 项彬彬, 吕明琪, 陈波, 江颉. 基于字节码图像和深度学习的Android恶意应用检测[J]. 电信科学, 2019, 35(1): 9-17.
[2]	李馥娟,王群. Rootkit攻防机制与实现方法[J]. 电信科学, 2018, 34(12): 33-45.
[3]	朱易翔,张慷,王渭清. iOS恶意应用分析综述[J]. 电信科学, 2017, 33(2): 42-47.
[4]	黄玮,崔宝江,胡正名. Web应用程序客户端恶意代码技术研究与进展[J]. 电信科学, 2009, 25(2): 72-79.
[5]	黄玮,崔室江,胡正名. Web应用程序客户端恶意代码技术研究与进展[J]. 电信科学, 2009, 1(2): 72-79.
[6]	王永全. 通信网络中犯罪行为的取证技术 *[J]. 电信科学, 2006, 22(6): 63-66.

基于4级受信机制的可疑终端的恶意代码取证与分析

在线阅读

PDF下载

可视化

摘要/Abstract

引用本文

使用本文

图/表 4

参考文献 6

相关文章 6

Metrics

推荐阅读 0