论文部分内容阅读
本论文以远程控制木马的防范与检测为主线,完成了对完成端口技术、DLL劫持技术、文件捆绑技术、DLL劫持防范技术和DLL劫持检测技术的研究。只有在研究了远程控制木马所采用的技术基础上,才能做到对该类型木马精确的防范、检测和排查。在Winsock提供了五种类型的套接字I/O模型中,如果所写的应用程序想在同一时刻对为数众多的套接字进行管理,那么能达到最佳系统性能的办法就是采用完成端口模型。通过对完成端口模型的深入研究,采用该模型提升远程监控软件面对大量并发连接请求和数据传送时的性能。对当前最流行的Windows操作系统来说,其中规定了一个这样的特性,强制操作系统加载程序时遵循以下流程:应用程序加载模块时首先搜索当前目录,只有当加载程序无法在应用程序目录中找到对应的文件时,才去搜索系统目录或者其他目录。把程序加载非系统目录下DLL的技术称为DLL劫持技术,通过对DLL劫持技术的深入研究,用其完成远程控制软件的植入功能。文件捆绑技术是将多个文件捆绑在一起成为一个文件,捆绑后的文件在执行时,捆绑在里面的文件都会被执行,这个技术通常被用在木马的传播上。虽然传统的杀毒软件有静态扫描和动态扫描两种方式,但每一种方式都有其对应的缺点,尤其对DLL劫持型木马的来说,主流的杀毒软件均未做到对其有效的检测,因此在深入了解DLL劫持的基础上,提出了一种新的检测机制,该检测机制的病毒识别方法既不依据特征码也不依据行为分析,而是依据病毒的表现形式,例如DLL劫持病毒的表现形式就为在一个进程内加载了同名的DLL文件。采用这种检测机制,分别完成了专门针对DLL劫持型木马的防范和检测工具设计与实现。本论文主要进行了如下几方面的工作1.研究并实现完成端口模型。2.研究并实现DLL劫持相关技术。3.研究远程控制木马与文件捆绑技术。4.学习通用的病毒检测技术。5.设计与实现DLL劫持型木马专用防范工具。6.设计与实现DLL劫持型木马专用检测工具。