基于SSDT的进程注入拦截技术的研究与实现

摘要

在windows系统中，进程注入是一个为了完成特殊功能而被系统预留出的接口，通过该接口，可以实现一些特殊的功能如屏幕取词、输入法等等，但是如果该接口被恶意利用，则会实现盗号木马、进程隐藏等恶意程序，因此在安全问题日益严重的今天，对进程注入拦截具有现实意义。
　　本文主要比较了用户态的IAT HOOK和Inline HOOK以及内核态的HOOK SSDT、HOOK PE和挂接中断，通过通用性、稳定性、开发难度、跨平台性的比较选择了HOOK SSDT，HOOK SSDT大量应用于杀毒软件、保护软件和RootKit技术中，对此技术的深入研究能够在攻防博弈中占据先机。
　　基于以上思想，本文以Visual C++6.0编译环境和Windows DDK驱动程序开发包为开发工具，使用WinDebug和OnllyDebug对系统进行内核层的逆向分析，对未文档化的内核部分进行深入了解，采用集成开发工具进行上层窗口应用程序和底层驱动的开发，并通过IOCTL完成底层驱动与上层程序之间的通讯。最终由底层模块对进程注入的操作进行拦截分析，将分析出的灰名单传递到云模块进行查杀，使拦截系统具有学习功能。
　　实验证明本系统能够根据黑白名单对进程注入进行分析、拦截并具有学习能力，具有稳定性，可移植性和高效性等优点，较好的完成了目标要求。

目录

封面

声明

中文摘要

英文摘要

目录

第1章 绪论

1.1科学意义和应用前景

1.2国内外研究概况

1.3本文主要研究内容

第2章 系统服务拦截技术

2.1系统调用定义

2.2 Windows下系统调用的流程

2.3Windows平台下系统调用拦截技术

2.4本章小结

第3章 进程注入拦截系统采用的技术方案

3.1 SSDT概述

3.2 SSDT Hook技术

3.3本章小结

第4章 系统结构及模块划分

4.1本软件的系统结构

4.2内核拦截模块

4.3后台监控模块

4.4装载进程模块

4.5云处理模块

4.6本章小结

第5章 系统使用与系统测试

5.1系统使用

5.2系统测试

5.3小结

结论

致谢

参考文献

作者简介

攻读硕士期间发表的论文和科研成果