未知型電腦病毒偵測器之設計與實作

Abstract

在本篇論文中的第一部份針對電腦病毒的行為作一個完整的分析與歸類，將正常程式的行為與病毒行為加以區別。第二部份提出一個以軟體模擬技術為基礎而設計的未知型電腦病毒偵測器，其方式是以軟體模擬的方式模擬出一個程式執行時所需的執行環境，包括CPU的模擬、記憶體的模擬、作業系統的模擬以及I/O的模擬等等，提供一個接近真實且百分之百安全的環境以正確的分析出可執行檔的程式行為。加上多功能的程式行為分析器用以更精確的模擬出潛在的病毒行為，以及一個根據病毒行為設計出的有限狀態機(Finite State Machine)作為病毒分析器，即可判斷一個程式是否受到病毒所感染。

This thesis proposes an emulation based method to detect generic viruses. In this thesis, we analyze virus programs and normal programs and try to distinguish the normal behavior and abnormal behavior of programs. Then, we build an emulation environment to emulate an executable environment for computer programs. We also build a finite state machine to analyze the behavior of the target program. With careful design of the finite state machine, we can detect generic viruses without knowing their virus pattern.