Windows NT环境下的恶意隐藏检测分析工具研究和应用

摘要

近年来，网上交易平台发展迅猛，密码被窃取后造成重大经济损失的案件却层出不穷，屡见不鲜。用户普遍具有密码保护意识，通常也都使用了安全软件，可是却在不知不觉中被盗走密码，主要原因是恶意程序大多使用了隐藏技术，隐藏在系统之中却不被发现，因此反隐藏就成为在病毒防护过程中的极为重要的一环。
　　恶意程序的隐藏手段现在已经衍化出多种技术。在用户态主要有各类注入技术和挂钩技术，在内核态有内核函数挂钩技术和基于多种不同的内核数据和对象的隐藏技术。本文以恶意代码所使用的隐藏技术为研究对象，设计并实现了一个综合内核态与用户态多种方法和手段的进程隐藏检测和分析工具。在用户态，使用基于系统调用行为的分析方法实现了对进程隐藏行为的检测和分析，并针对基于动态调用API的免杀技术提出并实现了一种基于JMP跳转监视的分析方法。在内核态使用基于驱动程序的内核编程技术，对内核中EPROCESS链表，系统服务描述表，PspCidTable句柄表等内核数据和结构进行监视。通过比较多种内核数据的变化，获取恶意隐藏进程在内核态的行为信息，从而检测出恶意隐藏进程并分析得出其所使用的方法。
　　实验表明，本文提出的基于JMP跳转监视的分析方法是准确有效的。本文所实现的检测分析工具对主流进程隐藏的技术手段如用户态注入技术、系统服务表的挂钩技术、基于内核对象的隐藏技术、基于PspCidTable的隐藏等技术的检测都是正确成功的，具有较好的检测和分析效果。

目录

声明

摘要

第一章 绪论

第一节 课题背景和研究意义

第二节 当前主流隐藏技术的发展现状

第三节 本文研究的内容

第四节 本文的结构和组织

第二章 Windows系统简述

第一节 Windows系统的体系综述

2．1．1 Windows系统基本体系结构

2．1．2 win32子系统

2．1．3 Windows动态链接库技术

第二节 Windows系统内部管理机制

2．2．1 内存地址分配机制

2．2．2 用户模式和内核模式

2．2．3 Windows内核对象管理

2．2．4 Windows系统服务

第三节 Windows PE文件结构概述

2．3．1 PE头部

2．3．2 导入表结构分析

2．3．3 导出表结构分析

2．3．4 动态调用技术

第四节 本章小结

第三章 检测分析工具的技术原理

第一节 用户态进程隐藏技术

3．1．1 基于远程线程注入隐藏

3．1．2 基于动态链接库的代码注入

3．1．3 基于Hook技术的隐藏技术

第二节 基于内核数据结构隐藏技术

3．2．1 SSDT Hook技术

3．2．2 Inline Hook SSDT

3．2．3 直接内核对象操作

3．2．4 内核对象搜索

第三节 基于线程调度的进程枚举方法

第四节 基于PspCidTable结构的进程枚举

3．4．1 遍历PspCidTable结构

3．4．2 PsLookupProcessByProcessId嗅探查询

第五节 本章小结

第四章 检测分析工具的设计与实现

第一节 检测分析工具的总体思路与设计

第二节 用户态检测模块

4．2．1 IAT Hook检测模块

4．2．2 基于系统调用检测模块

4．2．3 基于JMP跳转监视模块

第三节 内核态隐藏检测模块

4．3．1 SSDT Hook检测模块

4．3．2 EPROCESS链表遍历模块

4．3．3 内核对象搜索模块

第四节 基于PspCidTable结构的检测模块

4．4．1 系统句柄表遍历模块

4．4．2 PsLookupProcessByProcessId嗅探模块

第五节 本章小结

第五章 实验结果与分析

第一节 跳转地址监视方法有效性测试

第二节 检测分析工具功能测试

第三节 本章小结

第六章 总结与展望

参考文献

致谢

个人简历