视窗操作系统隐形病毒检测技术探索

摘要

计算机网络的飞速发展和广泛应用使得社会信息化程度不断提高，为社会带来了巨大的经济效益和社会效益。与此同时，计算机网络也面临着日益严重的安全问题。 病毒的监测与查杀成为网络安全领域研究的焦点。很多专业杀毒软件应运而生，它们使用的检测技术主要是特征码扫描技术、虚拟机检测技术和完整性检测技术。本文分析了这几种检测技术的原理及其特性，并归纳出这三种常规检测技术的优缺点，指出这些检测技术不能有效检测出隐形病毒。 现有隐形病毒主要使用了Rootkit隐藏技术。Rootkit技术出现于二十世纪90年代初，在1994年2月的一篇安全咨询报告中首先使用了Rootkit这个名词。从出现至今，Rootkit技术发展非常迅速，应用越来越广泛，现在更是被入侵者当作计算机病毒和木马程序开发的利器，而视窗操作系统无可避免地成为入侵者的目标。Rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。Rootkit技术可隐藏进程、文件、TCP端口、注册表等。随着Rootkit技术在计算机病毒中的广泛应用，现有的病毒检测技术遇到了前所未有的挑战。本文分析了Rootkit技术的工作原理，提出和使用了针对隐形病毒新的检测技术——差异分析检测技术，该技术可检测和采集系统底层信息和应用信息，将这些信息分别归类为信任和非信任系统信息，并将信任信息与非信任信息进行比较，从而区分出哪些信息可能被病毒入侵，最后区分出存在异常的信息并输出提示信息。针对木马程序，本文使用了管道检测技术，“管道”是一种操作系统提供的进程或线程间通讯的工具，木马程序利用它创建cmd．exe进程并重新定向其输入和输出，以实现对被入侵者的窥探和控制。管道检测技术通过获取所有管道，分析每个管道是否是被cmd．exe进程打开，从而找出该进程作分析检测，最终找出木马程序并输出提示信息。 利用以上两种检测技术，本文提出了隐形病毒检测程序SVDS（Stealth virus detection system）的设计构想，SVDS可实现对隐形病毒及木马程序的检测和报警。

目录

文摘

英文文摘

声明

第1章绪论

1.1背景

1.1.1计算机病毒的危害

1.1.2计算机病毒分类

1.2论文主要工作

1.3论文结构

第2章病毒检测技术现状分析

2.1现有检测技术

2.1.1特征码扫描

2.1.2虚拟机检测

2.1.3完整性检测

2.2反检测技术

2.2.1变形技术

2.2.2反虚拟机技术

2.2.3反检测技术缺陷

2.3小结

第3章Rootkit技术介绍

3.1隐藏目的

3.2隐藏进程

3.3隐藏TCP端口

3.4隐藏注册表

3.5隐藏文件

3.6小结

第4章隐形病毒差异分析检测

4.1原理介绍

4.2获取非信任系统信息

4.3获取信任系统信息

4.3.1获取信任的进程信息

4.3.2获取信任的TCP端口信息

4.3.3获取信任的注册表信息

4.3.4获取信任的文件信息

4.4小结

第5章木马程序管道检测技术

5.1原理介绍

5.2木马程序管道检测

5.2.1获取系统中所有的管道

5.2.2判断管道的进程

5.3小结

第6章SVDS检测工具的初步设计

6.1设计目标

6.2总体设计

6.3初步设计

6.3.1隐藏检测

6.3.2后门检测

6.4用到的关键技术介绍

6.4.1 Windows内核相关技术

6.4.2内存管理机制

6.4.3设备驱动程序开发技术

6.5实现的功能

6.5.1检测隐藏的计算机病毒

6.5.2检测后门程序

6.6小结

结论

致谢

参考文献