免费文档

Windows内核恶意代码分析与检测技术研究

维普资讯 http://www.mianfeiwendang.com

2 08年 9月 0年

计算机技术与发展 C MPUTER O TE(I NOL 'I - OGY ANI )DE VEL0PMf f ENT

Vo . 8 No 9 11 . S p 2 0 e. 08

Wid w内核恶意代码分析与检测技术研究 no s 左黎明 (东交通大学基础科学学院,华江西南昌 3 0 1 ) 3 0 3 摘要: no s Wi w内核恶意代码是指能够通过改变 Wi o s d n w执行流程或者改变内核审计和簿记系统所依赖的数据结构等 d

手段以达到隐藏自身,实现恶意功能的程序或程序集,对操作系统安全造成很大的危害。对近年来基于 N内核的微软 T

Wi o s作系统下恶意代码主要的隐藏实现技术 ( n w操 d包括对进程函数、注册表函数、S T等的 H O SD O K行为)进行了深入分 析研究,提出了一些具有实用价值的恶意代码检测技术方案。实践表明文中提出的恶意代码分析检测技术在实际中具有积极的指导意义。 关键词:内核;意代码; a v P; O K恶 N t e IH i A 中图分类号: F 9 .8 3 30 F文献标识码: A文章编号:6 3 6 9 ( 0 8 0— 1 5 0 17— 2 X 2 0 )9 0 4— 3

Re e r h o a y i n t c i n o a i i u s a c fAn l s sa d De e to fM lc o s Co e i i d ws Ke n l d n W n o r e ZUO— n Limi g

( co l f t a Si c, at h a i t gUn .N nhn 3 0 3C ia Sho o u l e e E s C i a o i, a cag30 1, h ) Na r n c n Jo n v n Ab ta t M aiiu o e i i d wsk r e r g a o e fp o r ms t a n i t u e s st ie h rp e e c n l w l iu sr c: l o sc d nW n c o e n li ap o r m rs t r g a h t n r d ru e o hd e rs n e a d a l ma i o s s o a o c a t n n ac mp t rs se b l r g t ee c t n f w ft eo e a i y tm rma i ua ig t ed t e h tt e o r t

y t m c i so o u e y t m ya t i h xe u i o o h p r t s se o n p l t h a as tt a h p a i s s e o en o l g n n e g n

rl p nfra dt ga db o k e i,id e ra am h aeo id wso rtn ytm C re n t e t r u h a a y i f ei u o u ii o k e pn s e o n n g t osge th r t t es f f n o p ai sse o W e g ariso h h o g n lsso o .

ma ocai cnqe f liu d i l e vr okn ci npoes u cosrgs yfnt n,S T dec )ite i cnel t h iu o iosc e(n u eyh oigat no rcs n t n,eir ci sS D a t. n h n g n e s mac o cde o f i t u o n W id wso e a in s s e b s d o n o p r t y t m a n NT e e .whi a e n p p lri e e ty a s o e kr 1 n c h s b e u a r c n e r .Th n i p o o e o c e s n h w e e t h o n e r p s s s mes h me o o t d tc t o t ema iiu o e i id wsk r e,p a tc a h we h tt e s h me v e ih p a t a i . h l co sc d n W n o e l r c ie h s s o d t h c e s h e v r hg r c i l y n a a y c t Ke r s k m e; l iu o e n t e API HOOK y wo d: e l ma i o sc d; a i c v:

0引言 从2 0世纪 9年代末, 0微软公司的基于 N T内核 的操作系统得到了长足的发展,统变得更加稳定与系高效,相关应用不断得到深人,来越多的公司和个人越

少,献[~3介绍和 N文 1] T内核和驱动的工作原理和开发方法,文献[~6提到了一些特殊的内核恶意代 4] 码技术和内核恶意代码分析的人门知识。文中揭示了

近年来恶意代码使用的新技术原理,提出了几种实用 的检测方法。

都希望能够搞清楚

N T内核操作系统的核心的工作原 理,以便更好地在该平台下进行开发。2 0 0 0年后的一次N T源代码泄露事件更引发了一次研究 NT内核结

1基于 N内核的 Widw操作系统结构 T no s 如图 1所示, T内核操作系统一般分为两部 N分:户模式 (i )内核模式 ( n ) J用 r和 n 。 一

构高潮。内核技术的普及也带来了病毒技术和恶意代码技术的又一次飞跃,多恶意代码已经能够和杀毒很软件工作在同一层次了,导致了此类恶意代码无法彻

般的应用程序运行在用户模式,动程序和操驱

底清除。与内核恶意代码分析相关的学术文献非常 收稿日期:0 7 1一 1 2 0:

作系统内孩运行于内核模式(i 0, r g )恶意代码开发者 - 通过使用一些特殊的和微软公司末公开的属性 (比如 一

基金项目:西省 F然科学罄金资助项 E (6 10 )江省教育厅江】 i 0 109;

些 N te P ) ai I可以直接访问内核资源和系统服务 vA己的驱动和修改已有的系统驱动程序,达到隐藏自己

支持项 I(教技 2( 13;东交通大学校谴科研基金资助坝 f=赣 j 01 2 )华 6 1 (7C 3 oJO )

(包括进程管理、内存管理、文件管理等等)并加载自, 和实现病毒传播、程监控、远网络监听、系统后门等功 能的目的 j。

作者简介:黎明 (9 1 )男,西鹰潭人,士,师,究方向左 18一,江硕讲研

为信息安全、非线性系统。

Windows内核恶意代码分析与检测技术研究

相关文档
热门文档
你可能喜欢
  • 代码检测
  • 漏洞挖掘
  • 恶意代码防范
  • 防火墙技术论文
  • 异常行为检测
  • 计算机取证技术
  • 技术特征
  • 杀毒软件
评论