惡意代碼防范技術的研究與實現(xiàn).pdf

1、近年來,惡意代碼的發(fā)展日益呈現(xiàn)出集傳統(tǒng)的計算機病毒、網絡蠕蟲、特洛伊木馬等威脅于一體的復合化趨勢,成為信息系統(tǒng)安全的主要威脅之一。如何防御惡意代碼的攻擊已成為當前信息安全領域的一個熱點研究課題。但是當前的研究存在兩個極端:信息安全業(yè)界公司熱衷于惡意代碼掃描引擎的開發(fā)和惡意代碼特征庫的擴充維護,學術界則偏重于惡意代碼防御的理論模型研究。缺乏對惡意代碼本質根源和機理等基本問題的探索。
　　 惡意代碼的防范問題,不是單靠一種或者幾種技

2、術就能解決的。它是一個系統(tǒng)工程,要靠技術、管理以及用戶安全意識的共同防范。只有技術、管理、安全意識三者相結合才能最大程度地防止惡意代碼對系統(tǒng)和用戶信息的破壞。
　　 本文首先對國內外惡意代碼防范技術的發(fā)展狀況進行了研究,分析了當前國內外惡意代碼自動檢測的現(xiàn)狀,指出了它們存在的問題,然后對惡意代碼防范相關的技術做了研究:Windows內核機制、Windows文件系統(tǒng)過濾驅動(minifilter)、Windows服務、Window

3、s設備驅動程序的編寫、Windows PE文件原理、注冊表原理。
　　 在研究以上相關技術的基礎之上,設計并實現(xiàn)了一個基于Windows平臺的惡意碼防范系統(tǒng)(AV_System),該系統(tǒng)包含的功能模塊有:PE完整性檢測模塊,該模塊主要利用FSFD過濾IRP數(shù)據包IRP_MJ_CREATE,在PE文件的Create過程中檢測其完整性,完整性未通過的系統(tǒng)將阻止該文件的Create(打開),并提醒用戶進行隔離。通過檢測的PE文件系統(tǒng)將

4、放行,不作任何操作。IAT鉤子檢測模塊,編寫設備驅動程序,通過PsSetCreateProcessNotifyRoutine注冊回調函數(shù),進行IAT鉤子的檢測。Windows系統(tǒng)核心文件保護模塊,為了保護windows系統(tǒng)的重要文件不被惡意刪除、替換、覆蓋、重寫等操作,本模塊主要基于FSFD在內核層攔截對％systemroot％目錄下的重要系統(tǒng)文件以及系統(tǒng)盤根目錄下的NTLDR、Ntdetect.com、GHLDR、bootfont.i

5、ni、boot.ini等文件的操作,禁止其進行重命名、刪除操作。考慮到有些應用程序在安裝或者運行的時候會對％systemroot％目錄下的文件有寫的操作,也包括惡意程序。在有不確定的寫入操作時將操作的詳細情況反饋給用戶,禁止或放行由用戶決定,從而達到提高操作系統(tǒng)的安全性。注冊表保護模塊,利用微軟提供的注冊表回調函數(shù)CmRegisterCallback注冊RegistryCallback例程實現(xiàn)對注冊表的監(jiān)控、修改、攔截等操作,在vist

6、a及以后的操作系統(tǒng)中使用CmRegisterCallbackEx。進程保護模塊,為了防止惡意代碼防范系統(tǒng)進程被惡意代碼終止,采用服務監(jiān)控的方法來保護進程的安全,也就是將監(jiān)控進程注冊為服務在后臺運行,當發(fā)現(xiàn)被監(jiān)控進程被惡意代碼終止時,便重新啟動進程繼續(xù)對系統(tǒng)實施安全防護。隔離區(qū)模塊,該模塊主要實現(xiàn)對已發(fā)現(xiàn)異常行為的進程進行隔離,防止其繼續(xù)感染。日志記錄模塊,該模塊主要對行為異常的進程所執(zhí)行的操作進行記錄,配合隔離區(qū)模塊便于日后審計追蹤。<

7、br>　　 最后對AV_System進行了功能測試以測試其惡意代碼的防范能力,同時將AV_System與微點殺毒軟件、PC-Cillin放在一起進行了對比測試,以此檢驗AV_System的惡意代碼防范能力。
　　 該系統(tǒng)以主動防御為主,從防御的角度出發(fā),將惡意代碼的破壞對象保護起來,使得惡意代碼的破壞力大大下降。對于執(zhí)行惡意操作的程序或者代碼片段,進行隔離同時進行日志記錄,方便日后審計追蹤。這樣即使惡意代碼存在Windows系