基于行为监控的木马查杀技术设计方案
一种基于行为分析的反木马策略
一种基于行为分析的反木马策略
商海波;蔡家楣;胡永涛;江颉
【期刊名称】《计算机工程》
【年(卷),期】2006(32)9
【摘要】阐述了反木马策略的研究现状及其发展趋势--木马的行为分析,分析并归纳了木马在安装阶段的行为特征,并在该基础上提出了一种针对Windows木马的反木马策略,可在木马安装阶段有效地拦截与查杀木马.
【总页数】3页(P151-153)
【作者】商海波;蔡家楣;胡永涛;江颉
【作者单位】浙江工业大学软件开发环境重点实验室,杭州,310032;浙江工业大学软件开发环境重点实验室,杭州,310032;公安部第三研究所,上海,200031;浙江工业大学软件开发环境重点实验室,杭州,310032
【正文语种】中文
【中图分类】TP309.5
【相关文献】
1.一种基于同源行为分析的APT异常发现策略 [J], 俞艺涵;付钰;吴晓平;李洪成
2.一种干部在线作弊学习行为分析与预测策略 [J], 陈乾国
3.一种实用的反木马策略 [J], 张瑞霞
4.一种基于用户行为分析的协同反垃圾邮件策略 [J], 陈建发;吴顺祥
5.一种基于用户行为分析的协同反垃圾邮件策略 [J], 陈建发;吴顺祥
因版权原因,仅展示原文概要,查看原文内容请购买。
采用行为分析的单机木马防护系统设计与实现
关键词 : 行为分析; 贝叶斯 算法; 木马; 防护
DO :03 7 /i n1 0 —3 1 0 1 10 4 文章编号 :0 28 3 (0 1 1.0 60 文献标识码 : 中图分 类号 : P 9 . I1 . 8 .s . 28 3 . 1. .1 7 js 0 2 1 10 .3 12 1 )10 4 .3 A T 3 30 8
1 引言
随着计算机 网络 技术的迅速 发展 , t t I e 逐渐渗透 到政 n me 府、 工业 、 教育 、 国防 领域 , 网络 在方 便地带 来 大量信 息 的 同 时 , 带来 了病毒 、 马 、 虫等诸多安全 问题 , 也 木 蠕 由此造 成黑客
出了一种使用机器学 习的基 于行为的木马检测方 法 ; 顾雨捷 等人提 出 了一 种新 的基 于 多层 模糊分 类系统 的反木马算 法 , 最终实现木马判别的局 部高精度分类 。
h vo f te po r uig Baei loi m o n ls fte po rm e air caat i i , rjn h re po rm air o h rga s y s n agrh fr aa i o h rga b hvo h rce sc Toa os rga m, n a t ys rts
Abtat ae n b h vos aayi,hsp pr ds n n el e r a os poet n ss m frP T e ss m s c:B sd o e air n ls ti a e ei s ad rai s a To n h re rt i yt o C.h yt r s g z j co e e o ecme h h r g fToa os eet n t h iu swhc ae n s t etr o e a d mo i r ssi os b — vro ste sot e o rjn h re dtc o e nq e ih b sd o t i faue c d n nt s upc u e a i c ac o i
基于行为分析的木马检测系统设计与实现
基于行为分析的木马检测系统设计与实现作者:张琦李梅来源:《电子技术与软件工程》2016年第18期摘要随着近年来网络技术的飞速发展,安全问题日益突出,病毒、木马、后门程序等恶意代码层出不穷,重大经济损失事件及重要泄密事件频频发生。
传统的代码检查技术主要依靠特征码,静态分析等手段,对分析者的技术要求高,效率较低,难以实现批量检查。
针对这些缺点,本文提出一种基于行为分析的木马检测技术,通过记录应用程序的动态行为,综合恶意代码的API调用序列,功能性行为特征、隐藏性行为特征、Rootkit行为特征等作为判别依据,分析其恶意危害性;同时给出详细的分析报告及关键行为记录,方便对恶意代码的手动查杀及深入分析。
实验表明本文提出的检测方案能够有效地检测已知或未知的恶意代码,提高木马的检测准确率和检测效率,达到预期的研究目的。
【关键词】恶意代码行为分析行为特征随着信息技术的飞速发展,计算机应用以及计算机网络己经成为当今社会中不可缺少的重要组成部分,对经济发展、国家安全、国民教育和现代管理都起着重要的作用。
但随着网络应用的增加,以计算机信息系统为犯罪对象和犯罪工具的各类犯罪活动不断出现。
网络安全风险也不断暴露出来,其中,利用木马技术入侵、控制和破坏网络信息系统,是造成信息安全问题的典型表现之一。
传统的恶意文件检测通常使用恶意程序特征值匹配的技术,即通过提取已经发现恶意程序的特征值(通常为恶意程序某一段的二进制文件或'汇编指令流),使用模式匹配的方式对恶意程序进行检测,这样做的好处是查杀准确,而且可以有效的将恶意程序进行定性,但是特征值需要获得并分析恶意文件样本,才可以得到,因此时间上有着滞后性为解决特征值查杀的滞后性。
如何能够快速、准确、简便的分析一个应用程序,成为了一种普遍的需求。
1 木马检测系统的设计与实现1.1 系统设计1.1.1 系统设计原则系统总体设计需要满足未来的木马检测发展需要,既要安全可靠,又要具有一定的先进性。
针对恶意侵入的网络入侵检测系统设计与实现
针对恶意侵入的网络入侵检测系统设计与实现随着互联网的飞速发展,网络安全已经成为了一个越来越重要的问题。
近年来,恶意入侵事件不断发生,使得网络安全问题变得愈发复杂和难以解决。
针对网络系统中存在的各种漏洞和风险,如何设计和实现可靠有效的入侵检测系统,成为了当前网络安全领域最为关注的热点。
一、网络入侵检测系统基本原理网络入侵检测系统(Intrusion Detection System,IDS)是指一种使用软、硬件和操作系统等技术手段对网络流量、系统日志及用户行为等进行实时监控,自动检测和识别网络中的异常流量、行为和攻击的系统。
根据其检测方法的不同,IDS又可分为基于规则的入侵检测系统(Rule-based Intrusion Detection System,RIDS)、基于异常的入侵检测系统(Anomaly-based Intrusion Detection System,AIDS)和基于混合检测的入侵检测系统(Hybrid-based Intrusion Detection System,HIDS)。
1、基于规则的IDS基于规则的IDS采用特定的规则对网络流量进行分析和比对,一旦出现与规则相匹配的流量,就会发出警报。
由于规则的限制性较强,该类型IDS的检测能力相对较弱,很难检测出新颖的入侵行为,但对于已知的入侵行为表现较好。
2、基于异常的IDS基于异常的IDS依据日志或流量的特征进行学习,建立出正常流量和行为的模型,之后进行新流量和行为的检测。
该类型IDS能够检测出新型入侵行为,但也容易误报和漏报。
3、基于混合检测的IDS基于混合检测的IDS结合了基于规则和基于异常的两种检测方法,既能检测出已知的入侵行为,也能检测出新颖的入侵行为,相对于另外两种类型的IDS具有更好的准确性和可靠性。
二、网络入侵检测系统的设计与实现网络入侵检测系统的设计与实现需要考虑多方面的因素,如检测性能、安全性和可扩展性等。
基于进程行为分析的木马检测系统的开题报告
基于进程行为分析的木马检测系统的开题报告一、选题背景随着计算机应用领域的扩大,恶意软件(Malware)也在不断发展壮大。
其中,木马(Trojan)是一种常见的恶意软件,它们不仅可以窃取用户的隐私信息,还会对计算机系统造成不可弥补的损失。
传统的防病毒软件通常采用签名匹配的方式进行木马检测,但这种方法面对日新月异的恶意软件形式,难以完成第一时间的检测。
因此,基于行为分析的木马检测系统在安全保障中越来受到人们的关注。
二、研究目标本文目标是开发一种基于进程行为分析的木马检测系统,通过对软件运行过程的监测和分析得出对恶意软件的检测结论。
本系统的目标是提供一种可靠、高效、轻量级的检测工具。
三、关键技术1. API 钩子:钩子技术常用于监控程序运行过程中的一些系统事件和操作,本研究将采用API钩子技术进行软件运行中关键事件的监控。
2. 行为分析算法:通过对监控到的系统事件的分类、统计和分析,确定恶意软件的行为特征,进而判断软件的类型。
3. 交互式数据可视化:通过数据可视化,展示木马检测的结果和分析结果。
四、预期结果本研究预期结果是开发一款基于进程行为分析的木马检测系统,该系统可以在保证检测准确率的同时,对资源消耗和运行效率进行优化,具备较高的实用价值。
该系统可应用于企事业单位的计算机安全管理与维护,有效提高计算机安全防护水平,防范计算机病毒和木马等恶意软件的攻击和侵害。
五、研究计划本研究计划分为以下三个阶段:1. 系统设计与实现。
首先需要设计基于行为分析的木马检测算法,然后根据算法特点,选取合适的编程语言和工具,在实践中实现木马检测系统的框架。
2. 系统测试与调试。
在通过程序测试和模拟实验验证系统在功能和效率方面的合理性,并尽可能的优化木马检测系统的检测能力和运行效率。
3. 总结与完善。
通过对木马检测系统实例的数据测试和监测,总结出系统的优缺点,进行进一步的修改与改进,提高木马检测系统的鲁棒性和实用性。
恶意程序检测与防范系统的设计与实现
恶意程序检测与防范系统的设计与实现恶意程序是指那些有意而恶意地编写出来的、用来危害计算机系统的程序。
恶意程序的威胁和数量在互联网时代不断增长,给个人和组织的信息安全带来了巨大的风险。
为了保护计算机系统免受恶意程序的攻击,设计和实现恶意程序检测与防范系统具有重要的意义。
本文将介绍一个恶意程序检测与防范系统的设计与实现方案,以帮助用户更好地防止恶意程序的入侵和危害。
一、系统原理恶意程序检测与防范系统的设计与实现的核心原理是基于行为分析和特征检测。
它通过对计算机系统进行全面的监控和分析,识别系统中的异常行为,检测和阻止恶意程序的运行。
具体来说,该系统主要包括以下几个模块:1. 实时监控模块:该模块负责对计算机系统进行实时的监控,记录系统的各种行为和操作,包括文件读写、进程运行、网络连接等。
2. 行为分析模块:该模块通过对实时监控数据的分析和比对,识别出系统中的异常行为。
它可以通过构建行为模型和学习算法来不断优化分析效果。
3. 恶意程序特征库:该库中存储了已知的恶意程序的特征信息。
系统可以通过与特征库的比对来判断是否存在恶意程序的威胁。
4. 恶意程序阻断模块:该模块负责根据行为分析模块的警报信息,采取相应的防御措施,如阻止恶意程序的运行、断开网络连接等。
二、系统实现为了实现恶意程序检测与防范系统的设计与实现,我们可以利用现有的技术和工具,结合自定义开发来完成。
1. 实时监控模块的实现可以利用操作系统提供的监控接口,如Windows的API 监控和Linux的审计系统。
通过调用操作系统提供的接口,我们可以获得计算机系统的相关信息,并将其记录下来。
2. 行为分析模块可以使用机器学习和数据挖掘的技术。
可以基于历史数据构建行为模型,并通过监督学习和无监督学习的方法进行分类和聚类分析。
通过不断优化算法和模型,提高系统的准确性和响应速度。
3. 恶意程序特征库的建立可以通过与安全厂商合作,并利用第三方的恶意样本库。
可以使用常见的特征提取算法,如哈希、字符串匹配和机器学习算法来对恶意程序进行特征提取和存储。
基于行为分析的木马检测
这些行为与许多正常网络通信程序一致 , 不适合 并 作 为 区分木 马 的行 为特征 。木马在 安装 阶段具 有显 著不 同于一 般正 常程 序 的行 为特 征 , 容易 辨 别 。木 马行 为作 用 的主要 对 象是 木 马程 序 本身 , 于获 取 易 木马程序的信息和定位木马, 并将其清除。也及早 保护 系统注册 表 , 系统文件 等不被破 坏 , 样避 免 了 这 清除木马的同时再对这些文件进行修复。 所在 目录 。 3 1 木 马在 安装 阶段的行 为特征 . () 5 打开 的固定 的 T P U P端 口。 C/ D 2 2 基 于动态行 为特征 的木 马检 测 . 木马安装有 2 个步骤: 隐藏木马程序和木马服 正在不断发展壮大的木马隐蔽技术使得木马在 务器 自启动设 置 , 以便 木 马 服务 器 在计 算 机 每 次开 被植 入 的系统 中越来越难 以发 现 。基 于静态 特征 的 机或 者重启 时都 自动运行 。 木马行 为及行 为作用 的对象 归纳 如表 l 示 。 所 木 马检测 技术检测 已知木 马 的各 种 隐蔽 和变化 能力 表 1 木 马 安 装 阶段 行 为 特 征 已经 严重 不足 , 且基本 无法应 对未知 的木 马 。 并 而基 于动态行 为分 析的木 马检测方 法控制 木马 的隐蔽 , 意操作 , 恶 植入 等行 为的所需要 的各 种资源
的通信, 带来信息邪路 , 系统破坏等损失。另外 由于
新木 马及各 类木 马变 种 产 生 的速 度非 常 快 , 征码 特 数量 也循迅 速增加 , 用 这 种方 式 必然 需 要 非 常大 试
马启动后会在远程进程中创建一个线程将恶意操作 代码拷 贝到创 建 的远程线 程 中运行 。
的时间开销 , 使得检测效率不断下降。 为克服 这些缺 陷 , 究人 员 从 行 为 的角 度考 虑 研 应对 方法 , 即行为分 析 : 据程序 行为特 征判 断其是 根
网络安全中的恶意软件检测技术与解决方案
网络安全中的恶意软件检测技术与解决方案恶意软件是指那些具有恶意目的并能够对计算机系统造成破坏、窃取信息或控制系统的软件。
它们可能以各种形式存在,比如病毒、蠕虫、木马、广告软件等。
恶意软件的增加和进化给用户的网络安全带来了巨大的威胁,因此实施恶意软件检测技术和采取相应的解决方案变得尤为重要。
恶意软件检测技术是指通过识别潜在的恶意软件来保护计算机系统和网络安全。
它主要分为静态检测和动态检测两种方式。
静态检测是指在不运行软件或代码的情况下对文件进行检测,通过分析文件的特征、行为和模式来判断是否存在恶意代码。
常用的静态检测技术包括特征匹配、行为分析和模式检测。
特征匹配是一种基于已知病毒特征库的检测方法,它通过比对文件的特征信息和已知的恶意软件的特征来进行检测。
特征可以是文件的哈希值、文件名、文件类型等。
但这种方法对于新出现的恶意软件无法进行有效的检测。
行为分析是通过分析软件在运行过程中的行为来判断是否存在恶意代码。
它可以监视软件访问文件、注册表、网络等行为,并根据事先设定的规则进行分析和判断。
这种方法可以有效地检测出变种和未知的恶意软件,但也容易产生误报。
模式检测是通过分析文件中的特定模式或规则来判断是否存在恶意代码。
这种方法主要基于正则表达式或模式匹配算法,通过匹配恶意软件的特定模式来进行检测。
但模式检测只能检测出已知的恶意软件,对于变种和未知的恶意软件无效。
动态检测是指在运行软件或代码的过程中进行检测,通过监控软件执行过程中产生的行为和特征来判断是否存在恶意代码。
常用的动态检测技术包括行为模式分析、异常检测和沙箱检测。
行为模式分析是通过分析软件在运行过程中的行为模式来判断是否存在恶意代码。
它可以监视软件的文件访问、网络连接、注册表操作等行为,并根据事先设定的规则进行分析。
这种方法可以检测出变种和未知的恶意软件,但也容易受到恶意软件自身的对抗。
异常检测是通过分析软件执行过程中的异常行为来判断是否存在恶意代码。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
基于行为监控的木马查杀技术设计方案绪论计算机的广泛应用把人类带入了一个全新的信息时代,不仅大方便了人们的生活,而且还直接影响着社会的各个方面;计算机及信息系统在给人们提供高速计算、海量信息、协同处理等各种服务的同时,其本身的安全性、完整性和可用性也受到了前所未有的威胁,计算机病毒、计算机犯罪、黑客攻击、系统故障等事件层出不穷,尤其是近年来计算机病毒的增长速度之快、传播围之广、造成损失之大令人痛心疾首。
2007年初,我读到了《中国互联网2006年度信息安全报告》。
该报告中显示,2006年全国的计算机病毒呈现三大特点:一是电脑病毒呈爆炸式增长。
全年共截获新增病毒多达240156种(图 0.1)。
图 0.1 2003、2004、2005、2006连续四年新增病毒数量对比示意图二是木马增长特快,并且变种多、比例高。
2006年,木马的新增数占总病毒新增数的73%,多达175313种。
有的木马程序在一天之增加了10余个不同的变种(图 0.2)。
而在所有的木马中,盗号木马又是最严重的一类,所占比例高达76.04%,成为了名副其实的“最毒”。
图 0.2 2006年新增病毒主要类型所占比例示意图三是破坏力强,木马所造成的灾难非常严重。
病毒不仅使全国75,967,19台计算机受到感染,破坏了大量的硬件设施和软件设备,而且使广大网民的网上财产受到了空前的损失。
特别是盗号木马不仅疯狂盗取网民的网银、虚拟财产,而且还盗取个人信息、企业资料等各种重要数据,已经形成了强大的无孔不入的产业链,成为了众多网民面临的第一大威胁。
资料证明6:在过去的两年里,有91.35%的计算机遭受过木马的攻击,有51%的恶意程序是专门用于盗取网银、网游等网络财产和QQ号、密码、数据的木马,每年给国家和网民造成115亿元以上的经济损失,而且还在以74%的速度递增。
面对如此严峻的形势,我的心情非常沉重:既然木马这么严重,特别是盗号木马已经成为网民的第一大威胁,为什么我们还要由它肆意泛滥而坐视不管呢?是我们没有能力解决还是有能力解决但没有找到好的办法呢?作为一名计算机爱好者,特别是一名有志青年,为什么不为消除恶意程序尽点自己的努力呢?于是,我开始留意这方面的成果,收集相关资料,下定决心找一种无需特征码、主动防御、能为用户提供木马详尽信息的方法,为广大网民、为互联网的安全、也为我国的计算机事业做出自己的贡献,于是我坚定地开始了该课题的研究。
1系统功能及总体架构1.1软件功能1.1.1对键盘记录型木马的监控使用全局钩子监控键盘的用户输入是当前盗号木马常用的一种盗号方式,本软件的行为监控功能可以及时发现木马并阻止该行为。
测试软件:键盘记录者 v8.0下载地址:/soft/5142.htm代表类型:使用全局钩子的键盘记录型盗号木马首先,不打开本软件或关闭行为监控功能,直接运行键盘记录者程序。
从截图可以看出,键盘记录者已将在记事本中输入的字符截获。
图 1.1未运行本程序时的情形然后,我们先开启本程序或开启行为监控功能,再运行键盘记录者。
从以下截图中可以看出,在键盘记录者运行时,本程序给出了提示以及键盘记录者程序的路径。
同时,由于默认的行为规则为阻止全局钩子设置,键盘记录者已无法发挥作用。
图 1.2本程序检测到全局钩子的设置并给出提示图 1.3由于设置钩子被阻止,键盘记录功能已无法发挥作用1.1.2对消息发送型木马的监控通过向文本框发送WM_GETTEXT消息获取其中的文本也是常见的一种盗号方法,本软件对此行为也进行了监控。
测试软件:窗体属性修改专家2007下载地址:.skycn./soft/9342.html代表类型:通过发送WM_GETTEXT消息获取文本框文本的木马首先,不打开本软件或关闭行为监控功能,直接运行窗体属性修改专家2007,打开记事本,随意键入一些文本,再按窗体属性修改专家的方法,将头像图标拖至记事本的文本框。
从截图可以看出,记事本的文本已出现在“获得窗口的文本或*号密码”中。
图 1.4窗体属性修改专家已将记事本中的文本显示出来然后,我们先开启本程序或开启行为监控功能,再运行窗体属性修改专家。
从以下截图中可以看出,在尝试获取文本时,本程序给出了提示以及窗体属性修改专家的程序路径。
同时,由于默认的行为规则为阻止了文本获取,“获得窗口的文本或*号密码”中已无任何文本出现。
图 1.5窗体属性修改专家已无法获取文本1.1.3系统状况分析:全局钩子检测众所周知,全局钩子是一种能截获系统围的消息并进行处理的一种机制,键盘记录型木马使用此技术监视用户键盘、鼠标等活动,盗取密码。
本软件的全局钩子检测功能可以检测出系统中当前活动的所有全局钩子,并获取全局钩子的设置者、钩子类型等信息。
不论全局钩子何时设置,本功能都能检测出来。
因此,也可以检测出行为监控关闭时以及本软件启动前侥幸逃脱监控的钩子。
例如,我们可以按以下步骤验证此功能:首先,关闭行为监控或关闭本软件,打开键盘记录者。
然后,再运行本软件并打开主窗口及系统状况分析-全局钩子检测功能。
从截图中可以看出,键盘记录者所设置的钩子已显示在列表中。
这两个钩子的类型为WH_GETMESSAGE和WH_CBT,钩子的设置者为键盘记录者程序“C:\Program Files\kdemo80\demo80.exe”。
图 1.6全局钩子列表选中键盘记录者设置的这两个钩子,点击删除钩子。
删除成功后,再向记事本中输入文本,可见键盘记录者中已无相应文本出现。
1.1.4行为日志记录在1.1.1 对键盘记录型木马的监控中,运行键盘记录者时,本软件给出了提示,同时,在行为日志中,也对键盘记录者的各种操作做了详细记录。
如图 1.7中所示的时间、所进行的操作(设置钩子)、操作来源、钩子类型及根据行为规则对此的处理等信息。
图 1.7行为日志记录1.1.5自定义行为规则对于某些系统进程(如Explorer.exe)常常成为木马进行线程注入后的藏身之处,此时可使用自定义行为规则功能,将其列入“受保护的进程”中,对其进行重点保护。
图 1.8自定义行为规则1.1.6重点进程保护远程线程注入是木马常用的一种自我隐藏技术,而系统进程Explorer.exe 等常常成为线程注入的对象。
本软件的重点进程保护功能可为列入“行为规则\受保护的进程”的进程提供单独的保护。
下面以“Windows应用程序捆绑核心编程配套光盘”中的创建远程线程示例程序作为演示。
首先,关闭本软件或关闭行为监控,打开计算器,再运行演示程序,该演示程序会在计算器进程中注入HideProcess.dll并显示出消息框如下图所示图 1.9线程注入成功然后,运行本软件,在行为规则设置中,在“受保护的进程”中加入计算器进程,再运行演示程序,本软件便可以捕获线程注入操作。
图 1.10本软件捕获线程注入操作1.1.7清除自我保护进程随着技术的发展,部分木马目前也具有了自我保护能力,对此,本软件使用驱动程序攻破了木马的保护。
下面用外挂进程隐藏-窗口隐藏-进程防杀器 V1.0进行演示测试软件:外挂进程隐藏-窗口隐藏-进程防杀器 V1.0下载地址:/html/1901.html代表类型:修改可执行文件导入表自我保护的木马原理:/thread-99987-1-1.html先关闭本程序或关闭行为监控,打开“进程防杀器”,随意选择一个进程,设置为防杀(如将记事本设置为防杀)。
图 1.11记事本进程保护成功自我保护成功后,再尝试用任务管理器结束记事本进程,可见任务管理器已无法完成此工作。
打开本软件的主窗口,选择系统状况分析-进程列表,再选择记事本进程,单击结束进程,可见本软件依然可以清理保护后的记事本进程。
图 1.12任务管理器无法结束自我保护进程1.2系统架构本软件的总体架构如图 1.13所示:图 1.13本程序的框架●GlobalHookUI.exe提供用户界面●GlobalHookUIExt.dll提供扩展功能●ActionRule.xml储存事件日志与行为规则●GlobalHook.sys完成修改核,接管API函数,收集行为信息,帮助GlobalHookUI.exe实现Ring3下无法完成的功能。
在以下部分对各模块进行详细介绍:1.2.1用户界面模块(GlobalHookUI.exe)用户界面模块是用户与本程序进行交互的主要界面,如图 1.14所示。
“设置行为规则”功能可以让用户对行为规则进行自定义,如默认对某一操作是允许、禁止或提示;也可以设置特例,如对系统进程赋予更高的权限,允许所有操作;也可以对某些重点进程设置保护,禁止其他进程对其的访问等。
具体讨论可参见1.1.5 自定义行为规则。
“系统状况分析”功能可以让用户了解系统的运行状况。
首创的全局钩子检测功能(参见对《一种通用于Windows 2000\XP\2003的枚举全局钩子及获取其关键信息的方法》的查新报告)可以让用户了解到哪些程序正在使用全局钩子监视键盘、鼠标或是系统消息。
同时,本软件提供了清除钩子的功能,以消除木马的监视。
具体讨论可参见1.1.3 系统状况分析:全局钩子检测。
“行为日志”功能记录了系统中受监控行为的发出者、操作对象、用户的处理等,为清除木马提供了依据。
具体讨论可参见1.1.4 行为日志记录。
图 1.14本程序的主窗口1.2.2驱动模块(GlobalHook.sys)驱动模块完成了截获各种行为、收集行为信息、读取与修改核数据等需要Ring0权限的工作。
1.2.3行为日志/行为规则(ActionRule.xml)ActionRule.xml存储了用户自定义的行为规则及行为日志。
1.2.4功能扩展模块(GlobalHookUIExt.dll)本软件的用户界面模块使用C#编写,由于.NET程序使用Win32 API/Native API要频繁的使用PInvoke,这样带来了诸多不便。
功能扩展模块实现了与Win32 API/Native API关系紧密的部分,如承担跨权限级别通讯功能的LPC端口的部分功能。
1.3系统关键技术与创新点1.3.1行为监控技术行为监控技术为本系统实现对木马的监控、行为日志记录、重点进程保护提供了技术基础。
木马程序的各种功能,必须借助系统提供的各种函数来实现,通常情况下,API函数调用的路径为:用户程序→子系统DLL→系统核,在行为监控启用时,API函数调用的路径被修改,变为用户程序→子系统DLL→行为验证→系统核,在子系统DLL与系统核的过程间加入了行为验证步骤。
具体说来,其路径为用户程序→子系统DLL→驱动模块(GlobalHook.sys)→用户界面模块(GlobalHookUI.exe)-行为规则比较→根据规则阻止操作/到达系统核。
API调用路径如下图所示图 1.15 API函数调用路径本程序修改了以下函数的执行路径,在路径中插入了行为验证步骤:表 1.1本程序监控的函数调用木马进行的各种操作必然是跨进程的,此特点被作为区分正常行为与异常行为的依据。