基于X86平台可执行代码动态检测技术的研究

摘要

近年来,随着Internet的迅速发展,网络安全问题显得日益突出。目前,网络上的攻击方式逐渐呈现出一些新特点,从以前大规模的,无特定目的的网络攻击转为小规模的,针对特定用户和目的的攻击。当今的计算机容易受到各种入侵。其中Rootkit成为危害计算机安全的重要因素之一。现有的检测技术,比如入侵检测系统,文件完整性检测,很可能无法检测出内核级的Rootkit。 本文阐述了Rootkit基本原理和所采用技术的相关理论,介绍了Rootkit检测系统的类型和面临的主要问题。详细介绍了Rootkit入侵的手段与利用的主要技术手段。Rootkit的主要特点就是隐藏信息,比如运行进程,服务,Tcp/Ip端口,文件,注册信息,用户帐号等等,常见的是隐藏运行进程,文件和注册信息。Rootkit常用的隐藏技术有DLL感染,API钩挂,线程注入,内核数据操作。本文介绍了一些检测Rootkit的技术和典型工具。 通过对Rootkit检测方法的分析,并结合可执行路径分析技术的特点,本文给出了一种基于x86平台的Rootkit检测系统的设计,并对系统的总体结构、主要功能模块以及系统的特点做了详细的说明。通过对系统调用计数,来检测计算机是否被入侵。通过多次实验,记录试验数据,来检测实际运行的效果。对实验数据作出了必要的分析和说明。通过对系统调用计数,来检测计算机是否被入侵。通过多次实验,记录试验数据,来检测实际运行的效果。对实验数据作出了必要的分析和说明。系统的流程框架为通过内核程序设置寄存器位,进入单步调试模式。检测目标系统的文件相关函数。检测目标系统的进程相关函数。检测目标系统的注册表相关函数。检测目标系统的系统服务和驱动相关函数。检测目标系统的端口相关函数。将结果与原始比对数据进行比较,如果超过阀值就发出通知。 最后对全文进行总结,提出本系统进一步的工作,并对Rootkit检测系统的发展趋势进行了展望。本文主要完成了3个方面的工作,首先介绍了网络安全现状以及安全的一些背景知识；分析了各种网络安全模型和技术；进而引出Rootkit的概念,阐述了Rootkit的相关理论,详细介绍了各种Rootkit检测模型和技术。其次,阐述了利用系统中断来实现指令计数和路径分析的方法。最后完成基于Windows的EPA检测系统整体框架的设计和实现,对关键模块作了相关测试。

目录

文摘

英文文摘

声明

第1章绪 论

1.1网络安全现状

1.2安全的含义及目标

1.3传统的安全模型与技术

1.3.1传统的安全模型

1.3.2传统的安全技术

1.4 Rootkit相关介绍

1.4.1什么是Rootkit

1.4.2 Rootkit的工作原理

1.4.3 Rootkit 常用的进程隐藏技术

1.5主要研究内容及研究方案

第2章Rootkit检测技术与检测工具

2.1 Rootkit检测技术

2.1.1 Cross-view技术

2.1.2启发式的方法

2.1.3利用统计的方法

2.2典型Rootkit检测工具

2.2.1基于Gross-view的GhostBuster

2.2.2基于启发式的PatchFinder

2.3本章小结

第3章可执行路径分析的设计

3.1 EPA设计思想

3.2记录系统调用指令数

3.3 EPA的改进

3.4 EPA技术的不足

3.5本章小结

第4章EPA技术实现

4.1 EFLAGS寄存器

4.2 Windows系统中断和陷阱机制

4.2.1中断处理及其流程

4.2.2中断相关数据结构

4.2.3创建软件中断钩子

4.2.4指令计数的实现

4.3本章小结

第5章Rootkit检测子系统的设计与实现

5.1数据源

5.1.1文件系统函数

5.1.2进程与注册表相关函数

5.1.3系统服务与端口相关函数

5.2检测流程图

5.2.1预处理

5.2.2处理流程

5.2.3系统构架设计

5.2.4对部分模块改进

5.3系统实验与分析

5.3.1对典型服务指令数测试实验

5.3.2不同负载环境下进行测试

5.4本章小结

结 论

参考文献

附录

攻读硕士学位期间取得的研究成果

致 谢