基于IAT表的木馬自啟動(dòng)技術(shù)(1)

基于IAT表的木馬自啟動(dòng)技術(shù)(1)

ID:46583058

大?。?47.84 KB

頁數(shù):3頁

時(shí)間:2019-11-25

基于IAT表的木馬自啟動(dòng)技術(shù)(1)_第1頁
基于IAT表的木馬自啟動(dòng)技術(shù)(1)_第2頁
基于IAT表的木馬自啟動(dòng)技術(shù)(1)_第3頁
資源描述:

《基于IAT表的木馬自啟動(dòng)技術(shù)(1)》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。

1、學(xué)術(shù)研究AcademicResearch基于IAT表的木馬自啟動(dòng)技術(shù)鄧樂,李曉勇(上海交通大學(xué)信息安全與工程學(xué)院,上海200230)【摘要】隨著注冊表監(jiān)視軟件的普及以及系統(tǒng)文件保護(hù)機(jī)制的增強(qiáng),木馬如何安全隱蔽的隨機(jī)自啟動(dòng)成為一個(gè)挑戰(zhàn)。論文描述了在WindowsXPSP2環(huán)境中如何突破系統(tǒng)文件保護(hù),實(shí)現(xiàn)基于IAT表的木馬隱蔽自啟動(dòng)技術(shù)?!娟P(guān)鍵詞】安全;自啟動(dòng);木馬【中圖分類號(hào)】TP393【文獻(xiàn)標(biāo)識(shí)碼】A【文章編號(hào)】1009-8054(2007)02-0151-03AutomaticstartupofTrojanhorsebasedonIATtableDENGLe

2、,LIXiaoyong(SchoolofInformationSecurityEngineering,ShanghaiJiaoTongUniversity,Shanghai200230,China)【Abstract】Astheregistrymonitoringsoftwareisbecomingmoreandmorepopularandmeanwhilethesystemfileprotectionisenhanced,howtostartupTrojanhorsewhensystembootstroublesus.Thepaperproposeawayo

3、fbreakingwindowsfileprotectionandstartinguptheTrojanhorsewhensystemboots.【Keywords】security;automaticstartup;Trojanhorse換正在使用的系統(tǒng)文件,同時(shí)利用構(gòu)造輸入表(IAT)的方1引言法,達(dá)到隱蔽啟動(dòng)木馬的目的。為了提高操作系統(tǒng)的穩(wěn)定性與可靠性,Windows操作系統(tǒng)家族從Windows2000開始使用一種叫做WFP2基本原理(WindowsFileProtection)的機(jī)制。WFP可防止程序替換Windows文件保護(hù)機(jī)制WFP重要的Windo

4、ws系統(tǒng)文件。WFP功能使用兩種機(jī)制為系統(tǒng)文件提供保護(hù):第一WFP把某些文件認(rèn)為是非常重要的系統(tǒng)文件(例如,種機(jī)制在后臺(tái)運(yùn)行,在WindowsXP環(huán)境中,其實(shí)現(xiàn)的帶有.dll、.exe、.ocx和.sys擴(kuò)展名的文件及某些TrueType代碼在sfc_os.dll中實(shí)現(xiàn)。在Windows啟動(dòng)階段,字體),如果備份在%SYSTEMROOT%system32dllcacheWinlogon進(jìn)程加載sfc_os.dll,調(diào)用其中一函數(shù)的文件由于某些原因也不可用,那么Windows就會(huì)要求插SfcInitProt(),SfcInitProt函數(shù)為每一個(gè)包含系統(tǒng)保護(hù)

5、文入系統(tǒng)光盤,以便從光盤上恢復(fù)。因此系統(tǒng)文件保護(hù)機(jī)制使件的文件夾創(chuàng)建一個(gè)“SFC監(jiān)視線程”,每一個(gè)監(jiān)視線程得對系統(tǒng)文件的修改成為一個(gè)挑戰(zhàn)。與此同時(shí),系統(tǒng)管理員會(huì)為每個(gè)受到保護(hù)的系統(tǒng)文件創(chuàng)建一個(gè)改變通知事件,然的安全意識(shí)逐步提高,簡單的修改注冊表的啟動(dòng)項(xiàng)已經(jīng)很后調(diào)用WaitForMultipleObjects函數(shù)等待這些事件的發(fā)難達(dá)到隱蔽的隨系統(tǒng)啟動(dòng)的目的。生。一旦受保護(hù)的系統(tǒng)文件被修改,WFP會(huì)根據(jù)dllcache本文提出并實(shí)現(xiàn)了一種隱蔽啟動(dòng)木馬的方法,該方法中的文件情況來決定是自動(dòng)的替換被修改的文件還是通知在WindowsXPSP2環(huán)境下突破了文件保護(hù)機(jī)制,

6、能夠替用戶插入系統(tǒng)光盤。WFP功能提供的第二種保護(hù)機(jī)制是系統(tǒng)文件檢查器(Sfc.exe)工具。收稿日期:2006-8-73PE(PortableExcutable)文件加載DLL的過程作者簡介:鄧樂,1982年生,男,碩士研究生,研究方向?yàn)镻E文件是Win32平臺(tái)下可執(zhí)行文件的默認(rèn)格式。Win-網(wǎng)絡(luò)安全、高性能網(wǎng)絡(luò)。李曉勇,1973年生,副教授,研究dows環(huán)境中,可執(zhí)行文件(.exe)、動(dòng)態(tài)鏈接庫(.DLL)、內(nèi)方向?yàn)楦咝阅芫W(wǎng)絡(luò)、信息安全。核驅(qū)動(dòng)程序(.sys)都使用PE文件格式,所有的代碼和數(shù)據(jù)信息安全與通信保密·2007.2151學(xué)術(shù)研究Academic

7、Research都在一個(gè)文件中,以連續(xù)的平面地址空間存儲(chǔ)。當(dāng)PE文件中IMAGE_IMPORT_BY_NAME結(jié)構(gòu)。的可執(zhí)行代碼引用外部DLL中的代碼時(shí),對外部代碼的定位OriginalFirstThunk和FirstThunk分別都指向一個(gè)信息都保留在PE文件中的輸入表,只有當(dāng)PE文件裝入內(nèi)存IMAGE_THUNK_DATA數(shù)組,其中由FirstThunk指向的后,Windows的PE裝載器才將相關(guān)的DLL裝入,并將調(diào)用IMAGE_THUNK_DATA數(shù)組會(huì)在PE加載器加載PE文件輸入函數(shù)的指令和函數(shù)的實(shí)際所處地址聯(lián)系起來,即動(dòng)態(tài)鏈時(shí)重寫。接。輸入表中保存的

8、是函數(shù)名和其駐留的DLL名等動(dòng)態(tài)鏈接P

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文

此文檔下載收益歸作者所有

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動(dòng)畫的文件,查看預(yù)覽時(shí)可能會(huì)顯示錯(cuò)亂或異常,文件下載后無此問題,請放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫負(fù)責(zé)整理代發(fā)布。如果您對本文檔版權(quán)有爭議請及時(shí)聯(lián)系客服。
3. 下載前請仔細(xì)閱讀文檔內(nèi)容,確認(rèn)文檔內(nèi)容符合您的需求后進(jìn)行下載,若出現(xiàn)內(nèi)容與標(biāo)題不符可向本站投訴處理。
4. 下載文檔時(shí)可能由于網(wǎng)絡(luò)波動(dòng)等原因無法下載或下載錯(cuò)誤,付費(fèi)完成后未能成功下載的用戶請聯(lián)系客服處理。