基于Windows NT的隱藏進(jìn)程檢測(cè)系統(tǒng)的研究與實(shí)現(xiàn).pdf

1、隨著計(jì)算機(jī)的普及和網(wǎng)絡(luò)應(yīng)用的飛速發(fā)展，主機(jī)與網(wǎng)絡(luò)安全成為人們關(guān)注的重要問題，病毒木馬與殺毒軟件在相互超越中不斷發(fā)展。越來越多的后門程序深入到系統(tǒng)內(nèi)核隱藏自身，在用戶不知不覺中竊取信息、收集數(shù)據(jù)、破壞系統(tǒng)。為了躲避殺毒軟件的檢測(cè)，后門程序必須采用隱藏技術(shù)，其中進(jìn)程隱藏是最基本最重要也是危害最大的技術(shù)之一。 本文深入地討論了隱藏進(jìn)程常用的技術(shù)，分析了用戶模式下的IAT掛鉤、EAT掛鉤和Inline掛鉤以及內(nèi)核模式下IDT掛鉤和SSD

2、T掛鉤的原理，接著對(duì)使用直接內(nèi)核對(duì)象操作(DKOM)隱藏進(jìn)程技術(shù)進(jìn)行了深入的剖析，分析了內(nèi)核對(duì)象結(jié)構(gòu)、DKOM的基本原理和技術(shù)實(shí)現(xiàn)。 在分析了隱藏進(jìn)程所采用的各種技術(shù)手段的基礎(chǔ)之上，針對(duì)當(dāng)前檢測(cè)工具的不足，設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)多層次的通用、有效、智能的隱藏進(jìn)程檢測(cè)系統(tǒng)。該系統(tǒng)在設(shè)計(jì)上充分運(yùn)用模塊化思想，以便于模型的擴(kuò)展與更新。在系統(tǒng)模型中采用多種檢測(cè)手段，對(duì)各種方式隱藏的進(jìn)程在不同的層次上給出檢測(cè)結(jié)果，因此其不僅可以作為檢測(cè)隱藏進(jìn)程

3、的工具，還可以用來分析后門程序采用的是何種隱藏技術(shù)。本文的核心部分是隱藏進(jìn)程的檢測(cè)技術(shù)，根據(jù)檢測(cè)方法和層次的不同，可將檢測(cè)分為用戶模式下的隱藏進(jìn)程檢測(cè)，基于內(nèi)存掃描的鉤子檢測(cè)，基于內(nèi)核進(jìn)程鏈表的檢測(cè)，并在前人研究的基礎(chǔ)上，對(duì)系統(tǒng)內(nèi)核結(jié)構(gòu)進(jìn)行了不斷的探索，改進(jìn)了基于線程鏈表的檢測(cè)，實(shí)現(xiàn)了基于線程調(diào)度的檢測(cè)，提高了通用性。同時(shí)對(duì)另一種進(jìn)程偽隱藏的DLL注入技術(shù)進(jìn)行了深入的研究，并給出了在內(nèi)核模式下監(jiān)控遠(yuǎn)程線程的方法。通過詳細(xì)的實(shí)驗(yàn)對(duì)系統(tǒng)進(jìn)行