收藏
下载资源

基于行为监控的木马查杀技术设计方案

上传人:cn****1 文档编号:455484719 上传时间:2023-04-19 格式:DOC 页数:69 大小:661KB
返回 下载 相关 举报
基于行为监控的木马查杀技术设计方案_第1页
第1页 / 共69页
基于行为监控的木马查杀技术设计方案_第2页
第2页 / 共69页
基于行为监控的木马查杀技术设计方案_第3页
第3页 / 共69页
基于行为监控的木马查杀技术设计方案_第4页
第4页 / 共69页
基于行为监控的木马查杀技术设计方案_第5页
第5页 / 共69页
点击查看更多>>
资源描述

《基于行为监控的木马查杀技术设计方案》由会员分享,可在线阅读,更多相关《基于行为监控的木马查杀技术设计方案(69页珍藏版)》请在金锄头文库上搜索。

1、基于行为监控的木马查杀技术设计方案 绪论计算机的广泛应用把人类带入了一个全新的信息时代,不仅大大地方便了人们的生活,而且还直接影响着社会的各个方面;计算机及信息系统在给人们提供高速计算、海量信息、协同处理等各种服务的同时,其本身的安全性、完整性和可用性也受到了前所未有的威胁,计算机病毒、计算机犯罪、黑客攻击、系统故障等事件层出不穷,尤其是近年来计算机病毒的增长速度之快、传播范围之广、造成损失之大令人痛心疾首。2007年初,我读到了中国互联网2006年度信息安全报告。该报告中显示,2006年全国的计算机病毒呈现三大特点:一是电脑病毒呈爆炸式增长。全年共截获新增病毒多达240156种(图 1.1)

2、。图 1.1 2003、2004、2005、2006连续四年新增病毒数量对比示意图二是木马增长特快,并且变种多、比例高。2006年,木马的新增数占总病毒新增数的73%,多达175313种。有的木马程序在一天之内增加了10余个不同的变种(图 1.2)。而在所有的木马中,盗号木马又是最严重的一类,所占比例高达76.04%,成为了名副其实的“最毒”。图 1.2 2006年新增病毒主要类型所占比例示意图三是破坏力强,木马所造成的灾难非常严重。病毒不仅使全国75,967,19台计算机受到感染,破坏了大量的硬件设施和软件设备,而且使广大网民的网上财产受到了空前的损失。特别是盗号木马不仅疯狂盗取网民的网银、

3、虚拟财产,而且还盗取个人信息、企业资料等各种重要数据,已经形成了强大的无孔不入的产业链,成为了众多网民面临的第一大威胁。资料证明6:在过去的两年里,有91.35%的计算机遭受过木马的攻击,有51%的恶意程序是专门用于盗取网银、网游等网络财产和QQ号、密码、数据的木马,每年给国家和网民造成115亿元以上的经济损失,而且还在以74%的速度递增。面对如此严峻的形势,我的心情非常沉重:既然木马这么严重,特别是盗号木马已经成为网民的第一大威胁,为什么我们还要由它肆意泛滥而坐视不管呢?是我们没有能力解决还是有能力解决但没有找到好的办法呢?作为一名计算机爱好者,特别是一名有志青年,为什么不为消除恶意程序尽点

4、自己的努力呢?于是,我开始留意这方面的成果,收集相关资料,下定决心找一种无需特征码、主动防御、能为用户提供木马详尽信息的方法,为广大网民、为互联网的安全、也为我国的计算机事业做出自己的贡献,于是我坚定地开始了该课题的研究。1 系统功能及总体架构1.1 软件功能1.1.1 对键盘记录型木马的监控使用全局钩子监控键盘的用户输入是当前盗号木马常用的一种盗号方式,本软件的行为监控功能可以及时发现木马并阻止该行为。测试软件:键盘记录者 v8.0下载地址: 2.1未运行本程序时的情形然后,我们先开启本程序或开启行为监控功能,再运行键盘记录者。从以下截图中可以看出,在键盘记录者运行时,本程序给出了提示以及键

5、盘记录者程序的路径。同时,由于默认的行为规则为阻止全局钩子设置,键盘记录者已无法发挥作用。图 2.2本程序检测到全局钩子的设置并给出提示图 2.3由于设置钩子被阻止,键盘记录功能已无法发挥作用1.1.2 对消息发送型木马的监控通过向文本框发送WM_GETTEXT消息获取其中的文本也是常见的一种盗号方法,本软件对此行为也进行了监控。测试软件:窗体属性修改专家2007下载地址:http:/ 2.4窗体属性修改专家已将记事本中的文本显示出来然后,我们先开启本程序或开启行为监控功能,再运行窗体属性修改专家。从以下截图中可以看出,在尝试获取文本时,本程序给出了提示以及窗体属性修改专家的程序路径。同时,由

6、于默认的行为规则为阻止了文本获取,“获得窗口的文本或*号密码”中已无任何文本出现。图 2.5窗体属性修改专家已无法获取文本1.1.3 系统状况分析:全局钩子检测众所周知,全局钩子是一种能截获系统范围内的消息并进行处理的一种机制,键盘记录型木马使用此技术监视用户键盘、鼠标等活动,盗取密码。本软件的全局钩子检测功能可以检测出系统中当前活动的所有全局钩子,并获取全局钩子的设置者、钩子类型等信息。不论全局钩子何时设置,本功能都能检测出来。因此,也可以检测出行为监控关闭时以及本软件启动前侥幸逃脱监控的钩子。例如,我们可以按以下步骤验证此功能:首先,关闭行为监控或关闭本软件,打开键盘记录者。然后,再运行本

7、软件并打开主窗口及系统状况分析-全局钩子检测功能。从截图中可以看出,键盘记录者所设置的钩子已显示在列表中。这两个钩子的类型为WH_GETMESSAGE和WH_CBT,钩子的设置者为键盘记录者程序“C:Program Fileskdemo80demo80.exe”。图 2.6全局钩子列表选中键盘记录者设置的这两个钩子,点击删除钩子。删除成功后,再向记事本中输入文本,可见键盘记录者中已无相应文本出现。1.1.4 行为日志记录在2.1.1 对键盘记录型木马的监控中,运行键盘记录者时,本软件给出了提示,同时,在行为日志中,也对键盘记录者的各种操作做了详细记录。如图 2.7中所示的时间、所进行的操作(设

8、置钩子)、操作来源、钩子类型及根据行为规则对此的处理等信息。图 2.7行为日志记录1.1.5 自定义行为规则对于某些系统进程(如Explorer.exe)常常成为木马进行线程注入后的藏身之处,此时可使用自定义行为规则功能,将其列入“受保护的进程”中,对其进行重点保护。图 2.8自定义行为规则1.1.6 重点进程保护远程线程注入是木马常用的一种自我隐藏技术,而系统进程Explorer.exe等常常成为线程注入的对象。本软件的重点进程保护功能可为列入“行为规则受保护的进程”的进程提供单独的保护。下面以“Windows应用程序捆绑核心编程配套光盘”中的创建远程线程示例程序作为演示。首先,关闭本软件或

9、关闭行为监控,打开计算器,再运行演示程序,该演示程序会在计算器进程中注入HideProcess.dll并显示出消息框如下图所示图 2.9线程注入成功然后,运行本软件,在行为规则设置中,在“受保护的进程”中加入计算器进程,再运行演示程序,本软件便可以捕获线程注入操作。图 2.10本软件捕获线程注入操作1.1.7 清除自我保护进程随着技术的发展,部分木马目前也具有了自我保护能力,对此,本软件使用驱动程序攻破了木马的保护。下面用外挂进程隐藏-窗口隐藏-进程防杀器 V1.0进行演示测试软件:外挂进程隐藏-窗口隐藏-进程防杀器 V1.0下载地址:http:/ 2.11记事本进程保护成功自我保护成功后,再

10、尝试用任务管理器结束记事本进程,可见任务管理器已无法完成此工作。打开本软件的主窗口,选择系统状况分析-进程列表,再选择记事本进程,单击结束进程,可见本软件依然可以清理保护后的记事本进程。图 2.12任务管理器无法结束自我保护进程1.2 系统架构本软件的总体架构如图 2.13所示:GlobalHookUI.exeActionRule.xml储存事件日志、行为规则GlobalHookUIExt.dll提供扩展功能LPC消息处理线程A.exeGlobalHook.sysB.exeGlobalHook.sys操作请求操作请求图 2.13本程序的框架l GlobalHookUI.exe提供用户界面l G

11、lobalHookUIExt.dll提供扩展功能l ActionRule.xml储存事件日志与行为规则l GlobalHook.sys完成修改内核,接管API函数,收集行为信息,帮助GlobalHookUI.exe实现Ring3下无法完成的功能。 在以下部分对各模块进行详细介绍:1.2.1 用户界面模块(GlobalHookUI.exe)用户界面模块是用户与本程序进行交互的主要界面,如图 2.14所示。“设置行为规则”功能可以让用户对行为规则进行自定义,如默认对某一操作是允许、禁止或提示;也可以设置特例,如对系统进程赋予更高的权限,允许所有操作;也可以对某些重点进程设置保护,禁止其他进程对其的

12、访问等。具体讨论可参见2.1.5 自定义行为规则。“系统状况分析”功能可以让用户了解系统的运行状况。首创的全局钩子检测功能(参见对一种通用于Windows 2000XP2003的枚举全局钩子及获取其关键信息的方法的查新报告)可以让用户了解到哪些程序正在使用全局钩子监视键盘、鼠标或是系统消息。同时,本软件提供了清除钩子的功能,以消除木马的监视。具体讨论可参见2.1.3 系统状况分析:全局钩子检测。“行为日志”功能记录了系统中受监控行为的发出者、操作对象、用户的处理等,为清除木马提供了依据。具体讨论可参见2.1.4 行为日志记录。图 2.14本程序的主窗口1.2.2 驱动模块(GlobalHook

13、.sys)驱动模块完成了截获各种行为、收集行为信息、读取与修改内核数据等需要Ring0权限的工作。1.2.3 行为日志/行为规则(ActionRule.xml)ActionRule.xml存储了用户自定义的行为规则及行为日志。1.2.4 功能扩展模块(GlobalHookUIExt.dll)本软件的用户界面模块使用C#编写,由于.NET程序使用Win32 API/Native API要频繁的使用PInvoke,这样带来了诸多不便。功能扩展模块实现了与Win32 API/Native API关系紧密的部分,如承担跨权限级别通讯功能的LPC端口的部分功能。1.3 系统关键技术与创新点1.3.1 行为监控技术行为监控技术为本系统实现对木马的监控、行为日志记录、重点进程保护提供了技术基础。木马程序的各种功能,必须借助系统提供的各种函数来实现,通常情况下,API函数调用的路径为:用户程序子系统DLL系统内核,在行为监控启用时,API函数调用的路径被修改,变为用户程序子系统DLL行为验证系统内核,在子系统DLL与系统内核的过程间加入了行为验证步骤。具体说来,其路径为用户程序子系统DLL驱动模块(GlobalHook.sys)用户界面模块(GlobalHookUI.exe)-行为规则比较根据规则阻止操作/到达系统内核。API调用路径如下图所示用户程序用户态(Ring3)核心态(Ring0

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 资格认证/考试 > 自考

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号