基于Windows NT平台进程监控系统研究与实现

摘要

随着计算机的普及和计算机网络的使用，计算机越来越多地服务于人们的生产和生活。主机与网络安全成为人们关注的重要问题，进程是计算机系统的主体，目前许多网络攻击手段都是通过运行非法进程来入侵和攻击目标计算机的。越来越多的后门程序深入到系统内核隐藏自身，在用户不知不觉中窃取信息、收集数据、破坏系统。因此，如何阻断非法进程的入侵并保障合法进程的安全运行，已成为计算机安全领域研究的重点。
　　 目前主流的Windows操作系统自带的任务管理器是较为优秀的进程监控工具，通过它可了解当前系统中正在运行的进程信息，并可以禁止进程的运行。但是，借助这些工具无法判别当前运行的进程的合法性。
　　 本文深入研究了隐藏进程常用的技术，分析了用户模式和内核模式下各种挂钩的原理，包括IAT挂钩、Inline挂钩、IDT挂钩、SSDT挂钩等；接着对使用直接内核对象操作进行进程隐藏的技术进行了深入的剖析，分析了内核对象的结构、DKOM的基本原理和技术实现。在分析了隐藏进程所采用的各种技术手段的基础之上，针对当前监控工具的不足，设计并实现了一个通用、有效、智能的进程监控系统。该系统采用模块化设计，便于系统的扩展与更新。
　　 本文阐述了整个系统功能模块设计的总体框架，并对单机版的框架进行扩展得到网络版的设计框架。在系统模型中，采用用户态与内核态两种方式获取进程信息，并对信息进行对比，可以判断出系统中运行的隐藏进程。
　　 本文的核心部分是对进程行为的监控技术，包括对进程创建与注销的监控、注册表监控、文件监控等，并对得到的信息进行综合分析，判断进程的安全性。本文在前人研究的基础上，对系统内核结构进行了不断的探索，实现了一种通用性的基于线程链表获得进程链表的检测技术。通过详细的实验对系统进行了多个实例测试，并给出了测试结果和评价，实验结果表明该系统对实验对象都产生了预期的结果。
　　 最后，本文列全篇工作进行了总结，并对今后的研究工作提出了展望。

目录

文摘

英文文摘

第1章 绪论

1.1 研究背景

1.2 木马的威胁

1.3 信息隐藏与反隐藏技术

1.4 研究内容

1.5 论文结构

第2章 隐藏进程的背景知识及技术实现

2.1 Windows体系结构简介

2.2 Windwos系统调用机制

2.3 基于HOOK的隐藏进程技术

2.3.1 用户模式下的HOOK技术

2.3.2 内核模式下的HOOK技术

2.4 基于DKOM的隐藏进程技术

2.4.1 Windows进程内核对象

2.4.2 DKOM隐藏进程技术

2.5 本章小结

第3章 进程监控系统的设计

3.1 监控系统技术分析与设计目标

3.2 应用程序与驱动程序之间的通信

3.2.1 应用程序与驱动程序通信

3.2.2 驱动程序与应用程序通信

3.3 监控系统总体设计方案

3.4 网络版监控系统模型设计

3.4.1 socket编程

3.4.2 模型设计

3.5 评价机制

3.6 本章小结

第4章 进程监控系统的实现

4.1 驱动程序开发

4.1.1 驱动程序的基本结构

4.1.2 内核调试工具

4.2 系统调用的实现过程

4.3 Windows系统调用截获的实现

4.4 常规获取进程信息

4.5 核心态枚举进程信息

4.6 注册表监控的实现

4.7 进程监控的实现

4.8 文件监控的实现

4.9 系统恢复模块的实现

4.10 本章小结

第5章 系统实验与分析

5.1 检测环境部署

5.2 功能测试

5.2.1 Hacker Defender

5.2.2 He4Hook

5.2.3 HideProcessHookMDL

5.2.4 NtRootkit

5.3 本章小结

结论

参考文献

攻读硕士学位期间发表的学术论文

致谢