攔截未知病毒之基礎技術-參數監控

科展類別
臺灣國際科展
屆次
2005年
科別
電腦科學
學校名稱
弘道國中
作者
黃煜翔
關鍵字
參數監控 ,電腦病毒

摘要或動機

在網際網路蓬勃發展的時代,電腦病毒也更加的猖獗。雖說防毒軟體百家爭鳴,但對於未知病毒的防治技術仍然束手無策。本研究的目的在追溯出電腦惡意程式運行模式,利用IDA靜態反編譯軟體與病毒原始碼尋找出病毒共同的特徵,阻斷其滋生途徑。 本研究在實驗中,研究者利用Borland C++ Builder 6作為應用程式開發環境,配合WinAPI函數與TRegistry類別設計出參數監控系統。研究顯示不論是修改於Window 9x架構下的win.ini, system.ini,或是Run與Run Service之下的資料項,本系統都能有效運作。此系統能成功的攔截到惡意程式對Registry鍵值的讀寫,亦即當使用者否決其修改鍵值時,惡意程式無法在重新開機後運行;易言之,惡意程式失去執行效力。 實驗結果發現,參數監控系統可攔截惡意程式之修改命令,防止未知病毒與惡意程式開機自動運行,以此達到未知病毒的攔截基礎技術。本研究之結果可補強市售防毒系統,對於未知病毒的攔截,能達到完整的防護效果。 Computer viruses become more rampant in the rapidly-developing era of Internet. With the various kinds of Anti-Virus software, people still can do nothing about detecting the unknown viruses. This research aims to trace back the computer virus function mode. By using IDA Pro Disassembler and Virus Source, we can find out the common characteristics of viruses. Thus, we can stop viruses from thriving. The experiment uses Borland C++ Builder 6 as the Registry Detection System by coordinating Win API and TRegistry. It works no matter by modifying win.ini and system.ini under the structure of Window 9x or by modifying Run Value and RunService Value. Moreover, it can intercept the viruses from reading and writing of the ValueKey. As the users deny the modified ValueKey, the viruses cannot run after resetting. In other words, the viruses lose their effects. The results present that Registry Detection System can intercept the modifying commands and prevent the automatic running from unknown viruses. By doing so, we can acquire the basic technology of intercepting the unknown viruses.
The application of this study can improve the functions of Anti-Virus. In this way, through protection from unknown viruses can be obtained.


「為配合國家發展委員會「推動ODF-CNS15251為政府為文件標準格式實施計畫」,以及 提供使用者有文書軟體選擇的權利,本館檔案下載部分文件將公布ODF開放文件格式, 免費開源軟體可至LibreOffice 下載安裝使用,或依貴慣用的軟體開啟文件。」

檔案名稱 檔案大小 格式
攔截未知病毒之基礎技術-參數監控 420 KB Adobe Reader(Pdf)檔案