7序研究以及基于API+HOOK的注册表监控技术

万方数据

恶意脚本程序研究以及基于API HOOK的注册表监控技术

作者：李珂洓，宁超

作者单位：李珂洓(电子科技大学,计算机科学与工程学院,成都,610054)，宁超(电子科技大学,微电子与固体电子学院,成都,610054)

刊名：

计算机应用

英文刊名：JOURNAL OF COMPUTER APPLICATIONS

年，卷(期)：2009，29(12)

引用次数：0次

参考文献(9条)

1.刘才铭,赵辉,张雁,等.受人工免疫启发的脚本病毒检测模型[J].电子科技大学学报,2007,36(6):1119-122

2.鲍欣龙,罗文坚,曹先彬,等.可用于恶意脚本识别的注册表异常行为检测技术[J].计算机工程,2005,31(8):137-139.

3.趋势科技扫描引擎换装雷霆缉毒手--ScriptTrap扫描技术让JavaScript/VBScript病毒无所遁形[EB/OL].[2001-01-15].https://www.360docs.net/doc/bd1523127.html,/tw/about/news/pr/article/2007091905 2930.html.

4.Source CodeWebsite[EB/OL].[2009-04-11].https://www.360docs.net/doc/bd1523127.html,/pg/e90.php.

5.MYLAVARAPU A,CHUKKAPALLI A.Source code analysis and performance modeling of malware[D].Saint Cloud,Minnesota:St.Cloud State University,Computer Science Department,2005.

6.HOGLUND G,BULTER J.ROOTKITS--Windows内核的安全防护[M].韩智文,译.北京:清华大学出版社,2007:65-105.

7.李晓东,罗平,曾志锋.利用木马的自启动特性对其进行监控[J].计算机应用研究,2007,24(5).141-149.

8.BRIEF.剖析Windows系统服务调用机制[EB/OL].[2004-05-

06].https://www.360docs.net/doc/bd1523127.html,/articles/200405/696.html.

9.郝东白,郭林,黄皓.基于HOOK的程序异常新闻检测系统设计与实现[J].计算机工程与设计,2007,28(18):4373-4376.

相似文献(7条)

1.会议论文葛先军.李志勇.宋巍巍基于网页恶意脚本链接分析的木马检测技术2008

通过对网页中的恶意脚本的链接进行分析,提出一种基于链接分析的网页木马检测技术,利用网页中的链接,追查出网页木马传播的病毒、木马程序所在位置,从而解决网络中有害程序的准确定位,为安全部门清除有害程序,追查病毒、木马传播人员提供线索,为上网用户提供安全的网络环境.

2.期刊论文杨天奇.施国宏.侯建民.Yang Tianqi.Shi Guohong.Hou Jianmin给Windows系统打好补丁-电脑学习

2009,""(1)

Windows操作系统是个非常复杂的软件系统,不时会被发现存在一些漏洞,在互联网发达的今天,这些漏洞会被病毒、木马、恶意脚本、黑客利用,从而严重影响电脑使用和网络的安全畅通,除了安装杀毒软件外,给系统打好补丁显得尤为重要.

3.学位论文鲍欣龙免疫识别模型和算法及其在病毒检测中的应用研究2004

随着计算机技术特别是网络技术的迅猛发展,新的计算机病毒的产生和传播速度越来越快,危害也越来越大.现有的反病毒技术主要是基于特征码匹配的方法,对于已知病毒可以准确快速地检测,但难以识别与处理未知的新病毒.因此,探索新环境下的计算机反病毒技术已经成为计算机安全研究的一个重要领域.生物免疫系统是一个具有很强自我保护功能的系统,能够有效识别已知和未知抗原.以此为基础的人工免疫方法蕴含着生物体抵御外界病毒的机制,对设计新的计算机反病毒技术带来了很大的启发.该论文旨在抽取生物免疫系统中所蕴含的识别机制,结合病毒检测的实际需求,设计用于病毒检测的免疫识别模型和算法,并将其应用在"网络病毒和恶意代码检测系统"中.该文具体的研究工作主要有以下几个方面:(1)借鉴生物免疫系统"根据自我识别非我"的思想,提出并实现了一种新的注册表异常行为检测技术,用于恶意脚本的识别.该技术实时截获进程所修改的注册表项,基于自我集来判断当前注册表行为是否异常.文中以Internet Explorer浏览器为例给出了具体实现方法.实际测试实验的结果表明了该技术的有效性和可行性.(2)深入挖掘生物免疫系统中的抗体生长和成熟机制,首先设计了一个检测器自适应变化的基本免疫识别模型和算法;然后借鉴T细胞分化发育中的阳性/阴性选择机制对该模型加以改进,设计了一个检测器和自我集均自适应变化的改进免疫识别模型和算法,在一定程度上弥补了自我集无法完整获取的缺陷.对实际病毒的检测实验结果证明了模型和算法的有效性以及改进的积极意义.(3)将以上研究工作应用在"网络病毒与恶意代码检测系统"中.实际测试表明,该系统对网络病毒和恶意代码具有良好的检测效果,充分验证了该论文所提出的模型和算法的有效性和实用性.该论文通过抽取生物免疫系统中所特有的免疫识别机制,设计了基于自我集的注册表异常行为检测技术以及自适应免疫识别模型和算法,并将其应用在"网络病毒与恶意代码检测系统"中.该文的工作不仅对现有的反病毒技术具有补足作用,并且对计算机安全新机制的研究具有启发意义.

4.学位论文何申面向3G移动通信网络的安全框架研究2007

随着移动通信技术的快速发展，移动通信网络已成为信息通信的重要系统。在全球范围内，第三代移动通信(3G)技术已开始实施并将逐步取代现有移动通信技术，其网络开放性大大增强，所能够承载的服务和内容急剧增多，并带给人们前所未有的使用体验。与此同时，3G移动通信网络所面临的信息安全挑战也显现出来。

3G移动通信网络是一个向全IP网络方向发展的公众使用网络。它所面临的威胁日益增加，包括过去仅仅出现在互联网上的威胁。正因如此，该网络

很容易成为黑客的攻击目标。为此，针对3G移动通信网的安全策略研究已成为迫在眉睫的问题。

本文在已有信息安全评估标准的基础上，提出了一种面向3G移动通信网络的安全框架，可用于指导3G网络安全体系的实际建设、安全方法和措施的合理选择。与此同时，通过深入研究异常检测技术，引入动态评估模块使得相应的安全框架更加能够适应动态的3G网络环境。

具体而言，本文的主要研究工作有：

(1)借鉴已有信息安全评估标准的基础上，深入分析了移动通信运营网络的自身特点和安全需求，提出了一种面向3G移动通信运营网络的安全框架。该安全框架包含静态评估模块、动态评估模块、网络的安全环境评估模块、风险和成本评估模块、威胁库、可选安全方法库、实施安全方法库等七个模块。七个模块通过静态评估和动态评估两个流程有机结合在一起。在静态评估流程中，首先在静态评估模块中对威胁和脆弱性进行分析，然后建立可选安全方法库，最后由风险和成本评估模块根据分析结果，选择部分合理的实施安全方法。在动态评估流程中，首先由动态评估模块对网络行为进行实时异常检测和分析，在分析过程中可根据网络的安全环境对动态评估模块检测阈值进行调节，如果发现异常行为则告警。

(2)在本文提出的安全框架基础上，针对3G移动通信网络，给出了安全框架实际实施方案的构建过程。根据本文安全框架的静态评估流程，给出了各网络区域中各安全维度的要求，详细分析了网络和终端用户的威胁，并建立了威胁库和可选安全方法库，进而使用风险和成本评估模块筛选可选安全方法，给出实施安全方法。与此同时，根据本文安全框架的动态评估流程，分析了网络的安全环境对动态评估模块的调节作用，给出了动态评估模块的设计方案。

(3)针对安全框架的动态评估模块，提出了基于统计分析的异常检测方法，可用于未知恶意脚本检测。文中针对互联网上的网络脚本病毒样本进行了测试实验，实验结果和分析表明该方法对未知和变种脚本病毒具有良好的检测效果。该方法可用于动态评估模块以检测3G移动通信网络中未知手机脚本病毒。

(4)针对安全框架的动态评估模块，提出了检测器长度可变的非选择算法。该算法是一种通用的异常检测方法，可用于3G移动通信网络中的异常检测。与传统非选择算法相比，该算法消除了“漏洞”，优化了检测器数量，提高了检测性能。仿真实验结果表明检测器长度可变的非选择算法比传统非选择算法具有更好的性能。

3G移动通信网络的安全体系建设是目前3G网络建设中亟待解决的问题。本论文的研究面向3G移动通信网络的安全框架，对我国即将投入建设的3G信息系统具有一定参考意义。

5.学位论文宋建栋WEB浏览器安全防御系统设计及实现2008

WEB浏览器是一种常见的客户端应用程序，是用户与网络交互的最主要平台之一。当前计算机和网络领域所存在的安全问题，很大一部分直接或者间接源于浏览器程序，浏览器的安全保护已经成为计算机安全的一个重要组成部分。虽然目前有许多种客户端安全产品，但利用WEB浏览器发动的网络攻击却没有得到有效遏制，WEB浏览器的安全仍待更加广泛和深入的研究。本文在全面分析Windows环境中WEB浏览器行为特征的基础上，提出了控制WEB浏览器行为的行为沙盒技术，并以此为核心设计实现了WEB浏览器安全防御系统。主要研究内容如下：

⑴详细分析了WEB浏览器的漏洞、存在的原因以及浏览器劫持、恶意脚本和ActiveX 控件三种利用浏览器漏洞发起攻击的主要手段。

⑵深入研究并总结了WEB浏览器在运行过程中的进程创建行为、文件访问行为、注册表访问行为，在此基础上提出行为沙盒的概念，描述行为沙盒技术的原理，并分析了行为沙盒技术对于“最小特权”原则的应用。

⑶设计并实现了以行为沙盒技术为核心的WEB浏览器安全防御系统，给出了该系统的架构流程以及实现的技术细节，详细描述了WEB浏览器安全防御系统的核心功能模块，包括用户层接口模块，监控引擎模块，报警模块等。

⑷测试了WEB浏览器安全防御系统的功能。分别就行为沙盒的可用性、阻止异常进程、控制异常文件访问、控制异常注册表访问、阻止利用浏览器漏洞进行病毒传播等五个主要功能进行了测试实验，测试结果表明本系统能够完整地构建行为沙盒并可以成功的识别并阻止浏览器的异常行为，实现了行为控制的目的。同时针对这测试结果分析了系统目前存在的不足。

⑸阐述了WEB浏览器安全防御系统相对于传统客户端安全产品的优势并提出了下一阶段的研究目标。

6.期刊论文零边缘打造系统无病毒感染之身-电脑知识与技术(经验技巧)2004,""(8)

"常在网上走,不怕你不中招",看看现在的网络,不得不让人们担忧.且不说病毒之多,就恶意脚本代码来说,也是满网飞,一不小心就中招,这可害苦了一大堆电脑使用者.不是四处寻"药",就是另找"神医"搭救.俗话说的好:求人不如求已!"神医"医术再高,有时远水解不了近渴,所以还是要自己学上一套解救本领.

7.学位论文向旭宇邮件安全审计和过滤技术研究与实现2003

邮件过滤是削弱或消除垃圾邮件、病毒、内容等对系统安全造成威胁的关键技术之一.而安全审计则是安全系统中一项必要的安全机制,它与系统的其它安全措施相辅相成,互为补充.该文首先分析了垃圾邮件的现状与危害,提出了反垃圾肉附的点.同时,对电子邮件的体系结构进行了分析和研究,并建立了邮件过滤模型.其次,对现有的各种过滤技术进行了深入地析与研究,并针对当前过滤技术存在的问题和困难,设计实现了一种基于数据挖掘的"垃圾"邮件过滤器.此外,该文还设计实现了一个具有基于SMTP过滤器的、基于规则的、基于附件扫描的、可清除恶意脚本的多重过滤功能的邮件过滤检测系统.同时,还设想了一个基于客户端、邮件代理、邮件服务器三层体系结构的由附系统设计方案. 最后,该文对安全审计的功能需求和各种审计技术及日志分析原理进行了分析研究,给出了邮件服务器日志分析的具体实现过呈和方法.同时,还做了一个对邮件流量进行监控的统计工具,对邮件的流量进行了统计分析.此外,还对一种基于内容的邮件安全审计系统作了详细的介绍.

本文链接：https://www.360docs.net/doc/bd1523127.html,/Periodical_jsjyy200912009.aspx

下载时间：2010年6月5日