Win32平臺(tái)下對(duì)抗HIPS技術(shù)的研究與實(shí)現(xiàn).pdf

1、隨著計(jì)算機(jī)在各行各業(yè)應(yīng)用的深入和普及,圍繞系統(tǒng)安全的研究也成為信息安全領(lǐng)域最熱門的研究方向之一?！肮ァ迸c“防”是永久不變的話題,兩者互補(bǔ)使得技術(shù)不斷更新發(fā)展。木馬、病毒技術(shù)迅速發(fā)展,同時(shí)安全軟件也日新月異,主機(jī)入侵防御系統(tǒng)(Host Intrusion Prevent System,HIPS)技術(shù)是安全軟件的發(fā)展方向之一。本文通過分析安全軟件HIPS模塊的一些技術(shù)原理,從隱式的和顯式的對(duì)抗兩種技術(shù)方式展示了目前HIPS系統(tǒng)的脆弱性。同時(shí)

2、也提出一些改進(jìn)的建議。本文首先敘述了HIPS技術(shù)特點(diǎn)、類型以及相關(guān)的系統(tǒng)內(nèi)核原理,然后在此基礎(chǔ)上,從顯式以及隱式兩大方向?qū)IPS系統(tǒng)進(jìn)行分析研究,剖析了HIPS機(jī)制目前存在的一些缺陷問題,并利用這些缺陷相應(yīng)的去對(duì)抗HIPS。在顯式對(duì)抗HIPS系統(tǒng)中,重點(diǎn)研究了HIPS系統(tǒng)的兩種進(jìn)程守護(hù)機(jī)制及安全軟件自身設(shè)計(jì)上的一些不足,并且對(duì)應(yīng)的分別設(shè)計(jì)了對(duì)抗HIPS的方法,同時(shí)對(duì)于每種對(duì)抗措施都編寫了相應(yīng)的實(shí)現(xiàn)代碼,并在實(shí)際系統(tǒng)環(huán)境中進(jìn)行測(cè)試完善,

3、在實(shí)際應(yīng)用中達(dá)到了比較好的效果。在隱式對(duì)抗HIPS系統(tǒng)中,主要討論了恢復(fù)影系統(tǒng)服務(wù)調(diào)用表(System Service Dispatch Table,Shadow SSDT)、利用未導(dǎo)出函數(shù)以及突破驅(qū)動(dòng)加載監(jiān)控。提出了一種基于Shadow SSDT以及底層回調(diào)(callback)函數(shù)的新型鍵盤記錄。同時(shí)重點(diǎn)分析了HIPS系統(tǒng)在驅(qū)動(dòng)加載監(jiān)控中存在的問題以及相應(yīng)的繞過技術(shù)。本文在研究對(duì)抗HIPS系統(tǒng)的同時(shí),針對(duì)HIPS系統(tǒng)的不足,從木馬病毒