面向PE病毒檢測的 行為特征分析方法研究

王靜+++梁大釗+++吳永順+++饒麗萍+++黃曉生

【摘要】目前，計算機病毒的存在成為了信息安全的一大威脅，其中以Windows32 PE文件為感染目標的PE病毒最為盛行，功能最強，分析難度也最大。對此，本文研究了一種面向PE病毒檢測的行為特征分析方法，詳細分析PE病毒執行過程中的關鍵行為特征、一般行為特征等，并以其十六進制行為字符串特征碼作為PE病毒的檢測依據，通過對可疑PE文件中字符串的匹配實現PE病毒的啟發式檢測。

【關鍵詞】PE病毒；行為分析；病毒檢測；可執行文件

1引言

隨著計算機技術的飛速發展，計算機病毒也層出不窮、日益猖獗，病毒技術日新月異、紛繁復雜，成為了信息安全的一大威脅。其中Windows32位的PE（Portable Executable，可移植的執行體）病毒最為盛行，破壞力極大，分析難度也最大。它是以Windows系統（Windows 9X、NT、2000）下的具有PE文件結構的可執行文件為感染目標，具有極強的技巧性，也使得絕大多數的病毒高手鐘愛編寫PE病毒，以更好的展現其病毒技術，這也就為廣大反病毒工作人員提出了更多的挑戰。因此，深入分析PE文件結構，掌握PE病毒的一般行為特征是有效對抗PE病毒的關鍵。王成等人提出了基于可疑行為識別的PE病毒檢測方法，研究了Windows 平臺下PE病毒的靜態檢測；劉帥也提出了一種基于Win32API相關行為靜態檢測PE病毒的方法等，這些方法都是通過分析病毒的可能行為實現對未知病毒的啟發式檢測，只是行為確定和行為識別的方法不同而已。

本文首先詳細分析了PE病毒實現中具有的主要行為特征，并將其作為判斷PE文件是否可疑的依據，構建PE病毒行為字符串特征值，通過獲取目標文件各個節的十六進制字符串，并與行為特征字符串匹配的方法實現對PE病毒的啟發式檢測。

2PE病毒行為特征分析

不同的PE病毒雖然都會具有不同的傳播和破壞行為，但是為了確保病毒能更容易的獲得運行權，更好地保護自己長久的生存，更準確地執行其既定的功能，PE病毒就必定會執行一些固有的操作，表現出共性的行為，因此，分析病毒的一般行為特征，可以為更準確地啟發式病毒查殺提供合理的依據。

2.1PE病毒關鍵行為特征

2.1.1 病毒中變量的重定位

PE病毒為了完成特定程序性功能會使用到若干變量，而這些變量在數據寫入目標文件之前已經經過編譯，被分配了一個確定的內存地址，當將數據寫入目標PE文件之后，變量并沒有重新編譯，仍然使用原有地址，此時會導致該地址與同樣已經編譯好的目標PE文件中的地址發生沖突，導致該變量無法使用，而目標PE文件也將無法執行，因此必須對PE病毒寫入的變量進行重定位。

2.1.2 尋找系統內存中Kernel32的基地址

PE病毒在傳播與感染過程中使用到文件搜索、文件讀寫等一系列的API函數，這些API函數的地址已經動態的映射在目標PE文件的內存空間中，要使用這些必須的API函數就要在目標PE文件中尋找相關API函數的地址。由于Kernel32.dll中包含兩個重要的API函數LoadLIbrary和GetProcAddress，可以通過其實現對系統中任意dll格式文件中導出的任意函數在進程空間的地址的獲取，因此，對于PE病毒來說，動態獲取API函數的首要操作就是找到Kernel32.dll的基地址。

2.2PE病毒的基本行為特征

PE病毒的基本行為是在不破壞感染目標PE文件的基礎上，向目標PE文件寫入具有特定破壞和傳播功能的數據，既可以確保原PE文件的正常執行而不被用戶發現，又可以寄生于該宿主文件，隨文件的運行而執行其特定的功能。

為了實現該目的，PE病毒一般會完成幾個操作。

（1）搜索磁盤中的目標PE文件

常見的PE病毒都會搜索并判斷系統中的PE格式文件，將搜索到的未被其感染過的PE格式文件作為其感染目標。常用的函數包括FindFile、FindNextFile、IsDirectory、GetFilePath、Find（“.exe”）等。

（2）將目標PE文件映射進內存

PE病毒為了向目標PE格式文件寫入設定好已經具有特定功能的數據，需要把目標文件整體內容映射到內存中，并且使用映射的文件句柄對目標進行文件讀寫操作。常用的函數包括CreateFile、MapViewOfFile、CreateFileMapping等。

（3）向目標PE文件寫入病毒功能代碼

向目標PE文件寫入內容，PE病毒的目的是通過向PE格式文件寫入特定功能的數據，達到操作系統執行PE病毒制造者想要的行為。常用的函數包括fopen、fread、fputc、fseek。

（4）修改目標PE文件入口點

為了確保病毒先于PE文件的運行而執行，向目標PE格式文件寫入特定數據后，PE病毒需要修改目標PE文件的入口點，如圖1所示，使該入口點指向病毒的功能代碼，確保程序被加載進內存后首先執行病毒程序。

（5）返回目標PE文件原始入口

為了使PE病毒能夠長久的生存，PE病毒必須要最大程度的實現在用戶毫不知情的情況下完成其傳播與感染操作，因此，一般的病毒代碼都會在先于宿主PE文件執行完畢后，通過跳轉指令返回HOST程序原入口點執行，如圖1所示，以完成宿主PE文件原有的功能，使用戶察覺不到病毒的運行。

2.3PE病毒其他行為特征

PE病毒為了能更容易的獲得運行權，更好地保護自己，一般還會具有修改注冊表、修改自啟動文件等行為，以實現開機自啟動、禁用注冊表、禁用殺毒軟件等功能。

例如，通過在注冊表中的以下位置添加新項來實現一些功能：

"Software＼＼Microsoft＼＼Windows＼＼CurrentVersion＼endprint

Run"

"Software＼＼Microsoft＼＼Windows＼＼CurrentVersion＼＼Policies＼＼System"

同時，病毒會修改系統的開機配置文件來實現開機自啟動，而這些行為會存在差異，可通過輔助使用注冊表監控與文件監控等行為監控工具進行檢測。

3基于行為特征的PE病毒檢測

PE病毒行為檢測方法主要是以病毒行為特征作為判定基礎，對目標文件使用字符串匹配的方法來確定是否具有可疑行為，其檢測流程如圖2所示。

3.1確定PE病毒行為字符串特征庫

為了準確判斷目標PE文件是否存在可疑行為，在詳細分析PE病毒行為特征的基礎上，獲取其行為特征對應的十六進制字符串構造字符串特征庫，作為檢測PE病毒的依據。

（1）病毒中變量的重定位

在PE病毒中最常用的是調用call指令來得到一個參考變量在內存中的真實地址，然后，將該地址與參考變量和重定位變量的偏移地址做運算來得到重定位變量的內存地址。其主要的匯編指令與對應的十六進制碼如表1所示。

（2） 獲取系統內存中Kernel32.dll基地址

病毒在使用CreateProcess函數完成裝載應用程序后，系統會先將一個返回地址壓入到堆棧頂端，而這個返回地址恰好在Kernel32.dll中，利用這個原理病毒順著這個返回地址按64KB大小向低地址搜索，直到找到Kernel32模塊的基地址為止。

（3）搜索磁盤中的目標PE文件

常見的PE病毒會遍歷磁盤中的全部分區進行目標PE文件的搜索，同時，對分區中的每一個目錄進行遞歸查找PE格式的文件。使用FindFile函數查找指定路徑，對當前路徑使用FindNextFile函數獲得下一個文件句柄后，IsDirectory函數判斷文件是否為目錄，是目錄則用GetFilePath得到文件路徑再遞歸調用查找函數，否則，Find（".exe"）判斷文件的后綴名是否為.exe，而這些基本行為對應的十六進制字符串如表3所示。

（4）將目標PE文件映射進內存

為了獲取文件映射句柄對目標文件進行讀寫操作，需首先將目標PE文件映射到系統內存空間，其基本行為對應的十六進制字符串如表4所示。

（5）向目標PE文件寫入病毒功能代碼

首先采用fopen函數以讀寫或是只讀的方式打開目標文件，用fseek函數定位打開文件的指針，fread函數和fputc函數對文件進行讀寫操作。

（6）修改PE文件入口點并返回HOST程序原入口點。

病毒將目標文件映射到內存或直接以讀寫方式打開后，獲取目標文件的程序入口點，保存原入口點并寫入新入口點，使得病毒代碼執行完成后可以返回原入口點。

3.2獲取可疑文件各個節十六進制串

通過以下幾個步驟實現對可疑PE文件中基本信息和節信息的讀取。

（1） 獲取可疑文件句柄

通過API函數CreateFile 創建打開可疑文件對象，并返回一個用來訪問該對象的句柄。

（2） 將可疑PE文件映射到內存

通過CreateFileMapping函數將可疑文件映射到內存，并且返回一個內存映射文件句柄，通過MapViewOfFile函數把內存映射文件句柄指向的可疑文件映射到當前應用程序的地址空間，并返回映射視圖文件的開始地址值，準備讀取可疑文件文件頭與文件的節的信息。為了準確的讀出PE文件的內容信息，還需要對PE文件結構以及PE文件的內存映射做出分析。

（3）讀取PE文件頭的IMAGE_FILE_HEADER 結構，如圖3所示。

（4）讀取PE文件頭的IMAGE_ OPTIONAL _HEADER 結構，如圖4所示。

（5）獲取節表中代碼節的特征值、起始位置、長度等信息，如圖5所示。

（6）讀取PE文件節的信息

定義一個PIMAGE_SECTION_HEADER結構實例，將其指向可疑PE文件的節表中每一個節表項；判斷當前節表的Characteristics特征是否可讀且包含代碼（代碼節），若不是則繼續讀下一個節表項，若是則把當前文件操作指針通過SetFilePointer設置到代碼節的開始位置，再通過ReadFile 函數把代碼節信息保存到已經申明好的BYTE* buffer=new BYTE[filesize+1] 動態字節數組中。

3.3PE病毒行為字符串匹配

獲取代碼節數據后，根據上文中的PE病毒行為特征采用字符串匹配的方法查找PE病毒行為特征并報告該文件的危險等級。

在字符串匹配方面，若直接進行匹配將會降低匹配效率、浪費計算資源，因此將匹配操作按照E8和FF開始字節進行分類劃分，由起始字節開始匹配，如圖6所示。

4結束語

文中首先分析了PE病毒具有的關鍵行為特征、基本行為特征以及為了保護病毒自身而具有的其他一些行為特征，并在此基礎上給出了這些行為特征的實現函數及其對應的匯編代碼、十六進制字符串，并以此為啟發式檢測未知病毒的依據，設計并詳細說明了其實現過程。

下一步將更深入研究PE病毒的行為特征，并對不同的行為特征進行權重設計，實現對不同行為組合的PE病毒可疑程度的準確判斷。

參考文獻

[1] 傅建明，彭國軍，張煥國.計算機病毒分析與對抗（第二版）.武漢大學出版社，2009.

[2] 王成，龐建民，趙榮彩，王強. 基于可疑行為識別的PE病毒檢測方法[J]. 計算機工程，2009，15（5）：132-134.

[3] 劉帥. Win32PE廣義病毒檢測的設計與實現. 哈爾濱工程大學碩士學位論文， 2011.

[4] 何志永. 一種對Windows中PE文件進行啟發式病毒掃描的算法.科技通報，2013，147-150.

[5] 李曉黎. Windows系統編程. 人民郵電出版社， 2012 .

[6] 范吳平. Win32 PE文件病毒的檢測方法研究. 電子科技大學碩士論文， 2012.

基金項目：

2013年中國民航大學教育教學改革研究課題（項目編號CAUC-ETRN-2013-24）。

2013年大學生創新創業訓練項目（項目編號IECAUC13028）。

作者簡介：

王靜（1980-），女， 博士，中國民航大學計算機科學與技術學院，講師；主要研究方向和關注領域：信息安全。

梁大釗，中國民航大學計算機科學與技術學院，本科生。

吳永順，中國民航大學計算機科學與技術學院，本科生。

饒麗萍，中國民航大學計算機科學與技術學院，本科生。

黃曉生，中國民航大學計算機科學與技術學院，本科生。endprint

Run"

"Software＼＼Microsoft＼＼Windows＼＼CurrentVersion＼＼Policies＼＼System"

同時，病毒會修改系統的開機配置文件來實現開機自啟動，而這些行為會存在差異，可通過輔助使用注冊表監控與文件監控等行為監控工具進行檢測。

3基于行為特征的PE病毒檢測

PE病毒行為檢測方法主要是以病毒行為特征作為判定基礎，對目標文件使用字符串匹配的方法來確定是否具有可疑行為，其檢測流程如圖2所示。

3.1確定PE病毒行為字符串特征庫

為了準確判斷目標PE文件是否存在可疑行為，在詳細分析PE病毒行為特征的基礎上，獲取其行為特征對應的十六進制字符串構造字符串特征庫，作為檢測PE病毒的依據。

（1）病毒中變量的重定位

在PE病毒中最常用的是調用call指令來得到一個參考變量在內存中的真實地址，然后，將該地址與參考變量和重定位變量的偏移地址做運算來得到重定位變量的內存地址。其主要的匯編指令與對應的十六進制碼如表1所示。

（2） 獲取系統內存中Kernel32.dll基地址

病毒在使用CreateProcess函數完成裝載應用程序后，系統會先將一個返回地址壓入到堆棧頂端，而這個返回地址恰好在Kernel32.dll中，利用這個原理病毒順著這個返回地址按64KB大小向低地址搜索，直到找到Kernel32模塊的基地址為止。

（3）搜索磁盤中的目標PE文件

常見的PE病毒會遍歷磁盤中的全部分區進行目標PE文件的搜索，同時，對分區中的每一個目錄進行遞歸查找PE格式的文件。使用FindFile函數查找指定路徑，對當前路徑使用FindNextFile函數獲得下一個文件句柄后，IsDirectory函數判斷文件是否為目錄，是目錄則用GetFilePath得到文件路徑再遞歸調用查找函數，否則，Find（".exe"）判斷文件的后綴名是否為.exe，而這些基本行為對應的十六進制字符串如表3所示。

（4）將目標PE文件映射進內存

為了獲取文件映射句柄對目標文件進行讀寫操作，需首先將目標PE文件映射到系統內存空間，其基本行為對應的十六進制字符串如表4所示。

（5）向目標PE文件寫入病毒功能代碼

首先采用fopen函數以讀寫或是只讀的方式打開目標文件，用fseek函數定位打開文件的指針，fread函數和fputc函數對文件進行讀寫操作。

（6）修改PE文件入口點并返回HOST程序原入口點。

病毒將目標文件映射到內存或直接以讀寫方式打開后，獲取目標文件的程序入口點，保存原入口點并寫入新入口點，使得病毒代碼執行完成后可以返回原入口點。

3.2獲取可疑文件各個節十六進制串

通過以下幾個步驟實現對可疑PE文件中基本信息和節信息的讀取。

（1） 獲取可疑文件句柄

通過API函數CreateFile 創建打開可疑文件對象，并返回一個用來訪問該對象的句柄。

（2） 將可疑PE文件映射到內存

通過CreateFileMapping函數將可疑文件映射到內存，并且返回一個內存映射文件句柄，通過MapViewOfFile函數把內存映射文件句柄指向的可疑文件映射到當前應用程序的地址空間，并返回映射視圖文件的開始地址值，準備讀取可疑文件文件頭與文件的節的信息。為了準確的讀出PE文件的內容信息，還需要對PE文件結構以及PE文件的內存映射做出分析。

（3）讀取PE文件頭的IMAGE_FILE_HEADER 結構，如圖3所示。

（4）讀取PE文件頭的IMAGE_ OPTIONAL _HEADER 結構，如圖4所示。

（5）獲取節表中代碼節的特征值、起始位置、長度等信息，如圖5所示。

（6）讀取PE文件節的信息

定義一個PIMAGE_SECTION_HEADER結構實例，將其指向可疑PE文件的節表中每一個節表項；判斷當前節表的Characteristics特征是否可讀且包含代碼（代碼節），若不是則繼續讀下一個節表項，若是則把當前文件操作指針通過SetFilePointer設置到代碼節的開始位置，再通過ReadFile 函數把代碼節信息保存到已經申明好的BYTE* buffer=new BYTE[filesize+1] 動態字節數組中。

3.3PE病毒行為字符串匹配

獲取代碼節數據后，根據上文中的PE病毒行為特征采用字符串匹配的方法查找PE病毒行為特征并報告該文件的危險等級。

在字符串匹配方面，若直接進行匹配將會降低匹配效率、浪費計算資源，因此將匹配操作按照E8和FF開始字節進行分類劃分，由起始字節開始匹配，如圖6所示。

4結束語

文中首先分析了PE病毒具有的關鍵行為特征、基本行為特征以及為了保護病毒自身而具有的其他一些行為特征，并在此基礎上給出了這些行為特征的實現函數及其對應的匯編代碼、十六進制字符串，并以此為啟發式檢測未知病毒的依據，設計并詳細說明了其實現過程。

下一步將更深入研究PE病毒的行為特征，并對不同的行為特征進行權重設計，實現對不同行為組合的PE病毒可疑程度的準確判斷。

參考文獻

[1] 傅建明，彭國軍，張煥國.計算機病毒分析與對抗（第二版）.武漢大學出版社，2009.

[2] 王成，龐建民，趙榮彩，王強. 基于可疑行為識別的PE病毒檢測方法[J]. 計算機工程，2009，15（5）：132-134.

[3] 劉帥. Win32PE廣義病毒檢測的設計與實現. 哈爾濱工程大學碩士學位論文， 2011.

[4] 何志永. 一種對Windows中PE文件進行啟發式病毒掃描的算法.科技通報，2013，147-150.

[5] 李曉黎. Windows系統編程. 人民郵電出版社， 2012 .

[6] 范吳平. Win32 PE文件病毒的檢測方法研究. 電子科技大學碩士論文， 2012.

基金項目：

2013年中國民航大學教育教學改革研究課題（項目編號CAUC-ETRN-2013-24）。

2013年大學生創新創業訓練項目（項目編號IECAUC13028）。

作者簡介：

王靜（1980-），女， 博士，中國民航大學計算機科學與技術學院，講師；主要研究方向和關注領域：信息安全。

梁大釗，中國民航大學計算機科學與技術學院，本科生。

吳永順，中國民航大學計算機科學與技術學院，本科生。

饒麗萍，中國民航大學計算機科學與技術學院，本科生。

黃曉生，中國民航大學計算機科學與技術學院，本科生。endprint

Run"

"Software＼＼Microsoft＼＼Windows＼＼CurrentVersion＼＼Policies＼＼System"

同時，病毒會修改系統的開機配置文件來實現開機自啟動，而這些行為會存在差異，可通過輔助使用注冊表監控與文件監控等行為監控工具進行檢測。

3基于行為特征的PE病毒檢測

PE病毒行為檢測方法主要是以病毒行為特征作為判定基礎，對目標文件使用字符串匹配的方法來確定是否具有可疑行為，其檢測流程如圖2所示。

3.1確定PE病毒行為字符串特征庫

為了準確判斷目標PE文件是否存在可疑行為，在詳細分析PE病毒行為特征的基礎上，獲取其行為特征對應的十六進制字符串構造字符串特征庫，作為檢測PE病毒的依據。

（1）病毒中變量的重定位

在PE病毒中最常用的是調用call指令來得到一個參考變量在內存中的真實地址，然后，將該地址與參考變量和重定位變量的偏移地址做運算來得到重定位變量的內存地址。其主要的匯編指令與對應的十六進制碼如表1所示。

（2） 獲取系統內存中Kernel32.dll基地址

病毒在使用CreateProcess函數完成裝載應用程序后，系統會先將一個返回地址壓入到堆棧頂端，而這個返回地址恰好在Kernel32.dll中，利用這個原理病毒順著這個返回地址按64KB大小向低地址搜索，直到找到Kernel32模塊的基地址為止。

（3）搜索磁盤中的目標PE文件

常見的PE病毒會遍歷磁盤中的全部分區進行目標PE文件的搜索，同時，對分區中的每一個目錄進行遞歸查找PE格式的文件。使用FindFile函數查找指定路徑，對當前路徑使用FindNextFile函數獲得下一個文件句柄后，IsDirectory函數判斷文件是否為目錄，是目錄則用GetFilePath得到文件路徑再遞歸調用查找函數，否則，Find（".exe"）判斷文件的后綴名是否為.exe，而這些基本行為對應的十六進制字符串如表3所示。

（4）將目標PE文件映射進內存

為了獲取文件映射句柄對目標文件進行讀寫操作，需首先將目標PE文件映射到系統內存空間，其基本行為對應的十六進制字符串如表4所示。

（5）向目標PE文件寫入病毒功能代碼

首先采用fopen函數以讀寫或是只讀的方式打開目標文件，用fseek函數定位打開文件的指針，fread函數和fputc函數對文件進行讀寫操作。

（6）修改PE文件入口點并返回HOST程序原入口點。

病毒將目標文件映射到內存或直接以讀寫方式打開后，獲取目標文件的程序入口點，保存原入口點并寫入新入口點，使得病毒代碼執行完成后可以返回原入口點。

3.2獲取可疑文件各個節十六進制串

通過以下幾個步驟實現對可疑PE文件中基本信息和節信息的讀取。

（1） 獲取可疑文件句柄

通過API函數CreateFile 創建打開可疑文件對象，并返回一個用來訪問該對象的句柄。

（2） 將可疑PE文件映射到內存

通過CreateFileMapping函數將可疑文件映射到內存，并且返回一個內存映射文件句柄，通過MapViewOfFile函數把內存映射文件句柄指向的可疑文件映射到當前應用程序的地址空間，并返回映射視圖文件的開始地址值，準備讀取可疑文件文件頭與文件的節的信息。為了準確的讀出PE文件的內容信息，還需要對PE文件結構以及PE文件的內存映射做出分析。

（3）讀取PE文件頭的IMAGE_FILE_HEADER 結構，如圖3所示。

（4）讀取PE文件頭的IMAGE_ OPTIONAL _HEADER 結構，如圖4所示。

（5）獲取節表中代碼節的特征值、起始位置、長度等信息，如圖5所示。

（6）讀取PE文件節的信息

定義一個PIMAGE_SECTION_HEADER結構實例，將其指向可疑PE文件的節表中每一個節表項；判斷當前節表的Characteristics特征是否可讀且包含代碼（代碼節），若不是則繼續讀下一個節表項，若是則把當前文件操作指針通過SetFilePointer設置到代碼節的開始位置，再通過ReadFile 函數把代碼節信息保存到已經申明好的BYTE* buffer=new BYTE[filesize+1] 動態字節數組中。

3.3PE病毒行為字符串匹配

獲取代碼節數據后，根據上文中的PE病毒行為特征采用字符串匹配的方法查找PE病毒行為特征并報告該文件的危險等級。

在字符串匹配方面，若直接進行匹配將會降低匹配效率、浪費計算資源，因此將匹配操作按照E8和FF開始字節進行分類劃分，由起始字節開始匹配，如圖6所示。

4結束語

文中首先分析了PE病毒具有的關鍵行為特征、基本行為特征以及為了保護病毒自身而具有的其他一些行為特征，并在此基礎上給出了這些行為特征的實現函數及其對應的匯編代碼、十六進制字符串，并以此為啟發式檢測未知病毒的依據，設計并詳細說明了其實現過程。

下一步將更深入研究PE病毒的行為特征，并對不同的行為特征進行權重設計，實現對不同行為組合的PE病毒可疑程度的準確判斷。

參考文獻

[1] 傅建明，彭國軍，張煥國.計算機病毒分析與對抗（第二版）.武漢大學出版社，2009.

[2] 王成，龐建民，趙榮彩，王強. 基于可疑行為識別的PE病毒檢測方法[J]. 計算機工程，2009，15（5）：132-134.

[3] 劉帥. Win32PE廣義病毒檢測的設計與實現. 哈爾濱工程大學碩士學位論文， 2011.

[4] 何志永. 一種對Windows中PE文件進行啟發式病毒掃描的算法.科技通報，2013，147-150.

[5] 李曉黎. Windows系統編程. 人民郵電出版社， 2012 .

[6] 范吳平. Win32 PE文件病毒的檢測方法研究. 電子科技大學碩士論文， 2012.

基金項目：

2013年中國民航大學教育教學改革研究課題（項目編號CAUC-ETRN-2013-24）。

2013年大學生創新創業訓練項目（項目編號IECAUC13028）。

作者簡介：

王靜（1980-），女， 博士，中國民航大學計算機科學與技術學院，講師；主要研究方向和關注領域：信息安全。

梁大釗，中國民航大學計算機科學與技術學院，本科生。

吳永順，中國民航大學計算機科學與技術學院，本科生。

饒麗萍，中國民航大學計算機科學與技術學院，本科生。

黃曉生，中國民航大學計算機科學與技術學院，本科生。endprint