惡意代碼防范技術的研究與實現(xiàn)

惡意代碼防范技術的研究與實現(xiàn)

ID:36402679

大小:10.87 MB

頁數(shù):79頁

時間:2019-05-10

惡意代碼防范技術的研究與實現(xiàn)_第1頁
惡意代碼防范技術的研究與實現(xiàn)_第2頁
惡意代碼防范技術的研究與實現(xiàn)_第3頁
惡意代碼防范技術的研究與實現(xiàn)_第4頁
惡意代碼防范技術的研究與實現(xiàn)_第5頁
資源描述:

《惡意代碼防范技術的研究與實現(xiàn)》由會員上傳分享,免費在線閱讀,更多相關內容在學術論文-天天文庫。

1、廣東工業(yè)大學碩士學位論文惡意代碼防范技術的研究與實現(xiàn)姓名:周峰申請學位級別:碩士專業(yè):計算機應用技術指導教師:凌捷201105摘要近年來,惡意代碼的發(fā)展日益呈現(xiàn)出集傳統(tǒng)的計算機病毒、網絡蠕蟲、特洛伊木馬等威脅于一體的復合化趨勢,成為信息系統(tǒng)安全的主要威脅之一。如何防御惡意代碼的攻擊己成為當前信息安全領域的一個熱點研究課題。但是當前的研究存在兩個極端:信息安全業(yè)界公司熱衷于惡意代碼掃描引擎的開發(fā)和惡意代碼特征庫的擴充維護,學術界則偏重于惡意代碼防御的理論模型研究。缺乏對惡意代碼本質根源和機理等基本問題的探索。惡意代碼的防范問題,不是單靠一種或者幾種技術就能解決的。它是一個系統(tǒng)工程,要靠技術、

2、管理以及用戶安全意識的共同防范。只有技術、管理、安全意識三者相結合才能最大程度地防止惡意代碼對系統(tǒng)和用戶信息的破壞。本文首先對國內外惡意代碼防范技術的發(fā)展狀況進行了研究,分析了當前國內外惡意代碼自動檢測的現(xiàn)狀,指出了它們存在的問題,然后對惡意代碼防范相關的技術做了研究:Windows內核機制、Windows文件系統(tǒng)過濾驅動(minifilter)、Windows服務、Windows設備驅動程序的編寫、WindowsPE文件原理、注冊表原理。在研究以上相關技術的基礎之上,設計并實現(xiàn)了一個基于Windows平臺的惡意碼防范系統(tǒng)(AVSystem),該系統(tǒng)包含的功能模塊有:PE完整性檢測模塊,該

3、模塊主要利用FSFD過濾IRP數(shù)據(jù)包IRPMJCREATE,在PE文件的Create過程中檢測其完整性,完整性未通過的系統(tǒng)將阻止該文件的Create(打開),并提醒用戶進行隔離。通過檢測的PE文件系統(tǒng)將放行,不作任何操作。IAT鉤子檢測模塊,編寫設備驅動程序,通過PsSetCreateProcessNotifyrRoutine注冊回調函數(shù),進行IAT鉤子的檢測。Windows系統(tǒng)核心文件保護模塊,為了保護Windows系統(tǒng)的重要文件不被惡意刪除、替換、覆蓋、重寫等操作,本模塊主要基于FSFD在內核層攔截對%systemroot%目錄下的重要系統(tǒng)文件以及系統(tǒng)盤根目錄下的NTLDR、Ntdet

4、eet.tom、GHLDR、bootfont.ini、boot.ini等文件的操作,禁止其進行重命名、刪除操作??紤]到有些應用程序在安裝或者運行的時候會對%systemroot%目錄下的文件有寫的操作,也包括惡意程序。在有不廣東工業(yè)大學碩士學位論丈確定的寫入操作時將操作的詳細情況反饋給用戶,禁止或放行由用戶決定,從而達到提高操作系統(tǒng)的安全性。注冊表保護模塊,利用微軟提供的注冊表回調函數(shù)CmRegisterCallback注冊RegistryCallback例程實現(xiàn)對注冊表的監(jiān)控、修改、攔截等操作,在vista及以后的操作系統(tǒng)中使用CmRegisterCallbackEx。進程保護模塊,為了

5、防止惡意代碼防范系統(tǒng)進程被惡意代碼終止,采用服務監(jiān)控的方法來保護進程的安全,也就是將監(jiān)控進程注冊為服務在后臺運行,當發(fā)現(xiàn)被監(jiān)控進程被惡意代碼終止時,便重新啟動進程繼續(xù)對系統(tǒng)實施安全防護。隔離區(qū)模塊,該模塊主要實現(xiàn)對已發(fā)現(xiàn)異常行為的進程進行隔離,防止其繼續(xù)感染。日志記錄模塊,該模塊主要對行為異常的進程所執(zhí)行的操作進行記錄,配合隔離區(qū)模塊便于日后審計追蹤。最后對AVSystem進行了功能測試以測試其惡意代碼的防范能力,同時將AVSystem與微點殺毒軟件、PC—Cillin放在一起進行了對比測試,以此檢驗AVSystem的惡意代碼防范能力。該系統(tǒng)以主動防御為主,從防御的角度出發(fā),將惡意代碼的破

6、壞對象保護起來,使得惡意代碼的破壞力大大下降。對于執(zhí)行惡意操作的程序或者代碼片段,進行隔離同時進行日志記錄,方便日后審計追蹤。這樣即使惡意代碼存在Windows系統(tǒng)中,它也沒有能力再去進行任何破壞。此時配合市面上的殺毒軟件,徹底清除惡意代碼,AVSystem在Windows平臺下對惡意代碼的防范將具有實際的意義?!疚牡膭?chuàng)新之處:以防御的思想為先導,將PE文件完整性檢測、IAT鉤子檢測、Windows核心文件保護、注冊表保護、進程保護等技術結合起來,設計并實現(xiàn)了一個惡意代碼防范系統(tǒng)(Av_System),為系統(tǒng)提供全方位實時保護,提高了系統(tǒng)的安全性。關鍵詞:內核;注冊表;FSFD;服務AB

7、STRACTABSTRACTInrecentyears,thedevelopmentofmalware,showingasetofmoreconventionalcomputerviruses,wornls,Trojanhorsesandotherthreatsinoneofthecompositetrendofinformationsystemsasoneofthemainthreatstosecurity.Howto

當前文檔最多預覽五頁,下載文檔查看全文

此文檔下載收益歸作者所有

當前文檔最多預覽五頁,下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學公式或PPT動畫的文件,查看預覽時可能會顯示錯亂或異常,文件下載后無此問題,請放心下載。
2. 本文檔由用戶上傳,版權歸屬用戶,天天文庫負責整理代發(fā)布。如果您對本文檔版權有爭議請及時聯(lián)系客服。
3. 下載前請仔細閱讀文檔內容,確認文檔內容符合您的需求后進行下載,若出現(xiàn)內容與標題不符可向本站投訴處理。
4. 下載文檔時可能由于網絡波動等原因無法下載或下載錯誤,付費完成后未能成功下載的用戶請聯(lián)系客服處理。