木馬防火墻系統(tǒng).pdf

1、本文主要進行了木馬技術的分析和如何防御木馬的研究。本文通過對防御軟件的調查分析，認為業(yè)界廠商相關軟件產(chǎn)品對木馬入侵的防御，一般只是作為個人防火墻的一部分功能，不能對木馬的入侵做完全的防御。這主要是因為大多數(shù)個人防火墻是按照特征碼來識別木馬，造成很多木馬無法被識別，結果導致無法有效防御。針對這個弱點，本文嘗試根據(jù)木馬的行為特征研究木馬技術，從而可以對疑似木馬的系統(tǒng)活動采取相應的措施。與兵法相似，防范木馬的入侵，需要知己知彼。本文對木馬技術

2、做了全面的研究，首先從程序實現(xiàn)作用上介紹了木馬的種類，并且同相似的計算機攻擊手段進行了對比。由于本文對木馬防御的策略，是基于對木馬行為的基礎上，研究中著重分析了木馬的入侵途徑和行為特征，總結了木馬行為活動必然涉及到的三個部分。這是以行為特征來識別和防御木馬的前提，為實施相應的技術對策提供了進一步的可能。如何識別和獲取木馬在系統(tǒng)中的活動信息，是研究的技術關鍵所在。本文以Windows2000系統(tǒng)為例，分析了Windows2000的操作系統(tǒng)

3、原理，從操作系統(tǒng)的層面研究了應用程序如何調用系統(tǒng)函數(shù)來實現(xiàn)其功能的原理；然后深入研究了系統(tǒng)動態(tài)鏈接庫的替換技術APIHOOK(ApplicationProgrammingInterfaceHOOK)技術，通過HOOKAPI實現(xiàn)替換應用程序調用的Windows系統(tǒng)函數(shù)，從而監(jiān)視每一個程序行為，一旦發(fā)現(xiàn)類似木馬的行為，就可以根據(jù)用戶定義的規(guī)則實時做出反應。本文設計開發(fā)了一個木馬防火墻系統(tǒng)，該防火墻是以木馬的行為特征來監(jiān)測和防御木馬的，開發(fā)中