基于内核过滤技术的Drive-by Downloads防御系统设计与实现

摘要

基于浏览器的偷渡式下载攻击(Drive-by Download Attacks)已经成为当前最具威胁的恶意攻击方式之一。与正常的弹出式下载方式不同，偷渡式下载攻击在不与用户交互的情况下利用系统程序漏洞完成攻击。在成功入侵用户系统后，攻击者可以获取目标机上重要的银行账号或购物网站登陆息。
　　根据偷渡式下载攻击特点，传统的防御方法一般分为三种，基于静态或动态网页代码分析技术、蜜罐技术、基于代码层的检测方法。在充分分析相关技术的优势与不足后，本文基于WindoWS文件系统过滤驱动与用户层钩子技术，实现了一种有效防御采用偷渡式下载方式的恶意程序执行的系统。本文创新之处主要有以下两点：
　　首先，为了正确区分文件下载方式为偷渡式下载还是弹出式下载，本文在应用层模块中引入文件下载全路径(File Full-Path)概念解决下载方式的匹配问题。首先分析用户下载行为，判断出用户确定下载时间点；然后拦截浏览器的文件下载过程，获取下载弹出进度框中的文件存放目录，将其作为文件全路径参数下传给内核层文件过滤驱动模块。
　　其次，在内核层模块设计中引入特殊空间(special Zone)概念。特殊空间的功能是禁止被重定向进入到此空间的可执行文件的执行。基于MiniFilter过滤驱动的文件过滤模块将所有通过浏览器进程下载的可执行文件先重定向到特殊空间里，然后根据文件全路径信息匹配文件下载方式。当文件下载方式为弹出式下载时，需要将文件还原到原保存目录，这样做的目的是保证系统对用户的透明性。由于恶意程序一定会在执行之前重定向至特殊空间中，系统阻断了恶意程序自动执行过程，有效地保证了用户系统的安全。
　　本文从有效性与性能消耗两项指标对系统进行了安全测试。实验结果表明，该系统具有良好的防御基于浏览器的偷渡式下载入侵能力和较低的运行开销。

目录

文摘

英文文摘

插图索引

附表索引

第1章 绪论

1.1 课题背景与意义

1.2 偷渡式下载的发展历程

1.3 国内外文献综述

1.3.1 恶意软件检测技术

1.3.2 恶意软件分析技术

1.4 论文研究内容

1.5 论文组织结构

第2章 相关背景知识

2.1 偷渡式下载攻击

2.1.1 偷渡式下载攻击概念

2.1.2 相关名词解释

2.1.3 偷渡式下载攻击过程

2.1.4 偷渡式下载攻击实例

2.2 基于网页的恶意代码

2.2.1 网页攻击方法

2.2.2 注入机制

2.3 Windows内核文件过滤驱动

2.3.1 Windows操作系统总体架构

2.3.2 文件系统过滤驱动

2.3.3 驱动中关键数据结构

2.4 Windows消息机制与Hook技术

2.4.1 消息机制

2.4.2 Hook技术

2.5 小结

第3章 PROSS系统架构设计

3.1 系统设计基础与实现难点

3.1.1 理论基础

3.1.2 环境基础

3.1.3 设计目标与系统难点

3.2 总体架构设计

3.2.1 总体架构

3.3 用户层模块设计

3.3.1 支撑技术

3.3.2 用户层模块设计思想

3.4 内核层模块设计

3.4.1 支撑技术

3.4.2 可执行文件过滤模块设计思想

3.5 小结

第4章 PROSS系统关键技术分析

4.1 ProSS总体流程图

4.2 各模块之间通信技术分析

4.3 用户层模块设计分析

4.3.1 窗口跟踪模块

4.3.2 鼠标键盘跟踪模块

4.4 内核层模块设计分析

4.4.1 禁止可执行文件执行

4.4.2 重定向可执行文件

4.4.3 文件还原技术

4.5 小结

第5章 实验结果与分析

5.1 实验环境

5.1.1 硬件环境

5.1.2 软件环境

5.1.3 偷渡式下载攻击环境搭建

5.2 有效性评估

5.2.1 测试漏洞选择与分布

5.2.2 测试过程与实验结果分析

5.3 性能评估

5.3.1 测试方法

5.3.2 实验数据分析

5.4 小结

结 论

参考文献

致谢

附录A 攻读硕士学位期间所发表的学术论文目录

附录B 攻读硕士学位期间所参与的项目