论文部分内容阅读
随着计算机的普及和网络应用的飞速发展,主机与网络安全成为人们关注的重要问题,病毒木马与杀毒软件在相互超越中不断发展。越来越多的后门程序深入到系统内核隐藏自身,在用户不知不觉中窃取信息、收集数据、破坏系统。为了躲避杀毒软件的检测,后门程序必须采用隐藏技术,其中进程隐藏是最基本最重要也是危害最大的技术之一。
本文深入地讨论了隐藏进程常用的技术,分析了用户模式下的IAT挂钩、EAT挂钩和Inline挂钩以及内核模式下IDT挂钩和SSDT挂钩的原理,接着对使用直接内核对象操作(DKOM)隐藏进程技术进行了深入的剖析,分析了内核对象结构、DKOM的基本原理和技术实现。
在分析了隐藏进程所采用的各种技术手段的基础之上,针对当前检测工具的不足,设计并实现了一个多层次的通用、有效、智能的隐藏进程检测系统。该系统在设计上充分运用模块化思想,以便于模型的扩展与更新。在系统模型中采用多种检测手段,对各种方式隐藏的进程在不同的层次上给出检测结果,因此其不仅可以作为检测隐藏进程的工具,还可以用来分析后门程序采用的是何种隐藏技术。本文的核心部分是隐藏进程的检测技术,根据检测方法和层次的不同,可将检测分为用户模式下的隐藏进程检测,基于内存扫描的钩子检测,基于内核进程链表的检测,并在前人研究的基础上,对系统内核结构进行了不断的探索,改进了基于线程链表的检测,实现了基于线程调度的检测,提高了通用性。同时对另一种进程伪隐藏的DLL注入技术进行了深入的研究,并给出了在内核模式下监控远程线程的方法。通过详细的实验对系统进行了多个实例测试,并给出了测试结果和评价,实验结果表明该系统对实验对象都产生了预期的结果。
最后,本文对全篇工作进行了总结,并对今后的研究工作提出了展望。