收藏本站
《广东工业大学》 2011年
收藏 | 手机打开
二维码
手机客户端打开本文

恶意代码防范技术的研究与实现

周峰  
【摘要】:近年来,恶意代码的发展日益呈现出集传统的计算机病毒、网络蠕虫、特洛伊木马等威胁于一体的复合化趋势,成为信息系统安全的主要威胁之一。如何防御恶意代码的攻击已成为当前信息安全领域的一个热点研究课题。但是当前的研究存在两个极端:信息安全业界公司热衷于恶意代码扫描引擎的开发和恶意代码特征库的扩充维护,学术界则偏重于恶意代码防御的理论模型研究。缺乏对恶意代码本质根源和机理等基本问题的探索。 恶意代码的防范问题,不是单靠一种或者几种技术就能解决的。它是一个系统工程,要靠技术、管理以及用户安全意识的共同防范。只有技术、管理、安全意识三者相结合才能最大程度地防止恶意代码对系统和用户信息的破坏。 本文首先对国内外恶意代码防范技术的发展状况进行了研究,分析了当前国内外恶意代码自动检测的现状,指出了它们存在的问题,然后对恶意代码防范相关的技术做了研究:Windows内核机制、Windows文件系统过滤驱动(minifilter)、Windows服务、Windows设备驱动程序的编写、Windows PE文件原理、注册表原理。 在研究以上相关技术的基础之上,设计并实现了一个基于Windows平台的恶意码防范系统(AV_System),该系统包含的功能模块有:PE完整性检测模块,该模块主要利用FSFD过滤IRP数据包IRP_MJ_CREATE,在PE文件的Create过程中检测其完整性,完整性未通过的系统将阻止该文件的Create(打开),并提醒用户进行隔离。通过检测的PE文件系统将放行,不作任何操作。IAT钩子检测模块,编写设备驱动程序,通过Ps Set Create Process Notify Routine注册回调函数,进行IAT钩子的检测。Windows系统核心文件保护模块,为了保护Windows系统的重要文件不被恶意删除、替换、覆盖、重写等操作,本模块主要基于FSFD在内核层拦截对%systemroot%目录下的重要系统文件以及系统盘根目录下的NTLDR、Ntdetect.com、GHLDR、bootfont.ini、boot.ini等文件的操作,禁止其进行重命名、删除操作。考虑到有些应用程序在安装或者运行的时候会对%systemroot%目录下的文件有写的操作,也包括恶意程序。在有不确定的写入操作时将操作的详细情况反馈给用户,禁止或放行由用户决定,从而达到提高操作系统的安全性。注册表保护模块,利用微软提供的注册表回调函数CmRegister Callback注册Registry Callback例程实现对注册表的监控、修改、拦截等操作,在vista及以后的操作系统中使用CmRegister CallbackEx。进程保护模块,为了防止恶意代码防范系统进程被恶意代码终止,采用服务监控的方法来保护进程的安全,也就是将监控进程注册为服务在后台运行,当发现被监控进程被恶意代码终止时,便重新启动进程继续对系统实施安全防护。隔离区模块,该模块主要实现对已发现异常行为的进程进行隔离,防止其继续感染。日志记录模块,该模块主要对行为异常的进程所执行的操作进行记录,配合隔离区模块便于日后审计追踪。 最后对AV_System进行了功能测试以测试其恶意代码的防范能力,同时将AV_System与微点杀毒软件、PC-Cillin放在一起进行了对比测试,以此检验AV_System的恶意代码防范能力。 该系统以主动防御为主,从防御的角度出发,将恶意代码的破坏对象保护起来,使得恶意代码的破坏力大大下降。对于执行恶意操作的程序或者代码片段,进行隔离同时进行日志记录,方便日后审计追踪。这样即使恶意代码存在Windows系统中,它也没有能力再去进行任何破坏。此时配合市面上的杀毒软件,彻底清除恶意代码,AV_System在Windows平台下对恶意代码的防范将具有实际的意义。 以防御的思想为先导,将PE文件完整性检测、IAT钩子检测、Windows核心文件保护、注册表保护、进程保护等技术结合起来,设计并实现了一个恶意代码防范系统(AV_System),为系统提供全方位实时保护,提高了系统的安全性。
【学位授予单位】:广东工业大学
【学位级别】:硕士
【学位授予年份】:2011
【分类号】:TP393.08

【相似文献】
中国期刊全文数据库 前10条
1 黄海中;侯湖滨;;计算机网络安全及防范技术[J];产业与科技论坛;2011年04期
2 王明华;;2011年5月网络安全监测数据分析[J];信息网络安全;2011年07期
3 纪玉春;;2011年6月网络安全监测数据分析[J];信息网络安全;2011年08期
4 闫军伟;钟求喜;贾欣;王茜;;基于行为的分布式恶意代码检测技术[J];计算机与现代化;2011年09期
5 赵海成;陈涌;;一种基于可信计算的恶意代码主动防御方法[J];价值工程;2011年24期
6 陆宝华;李科;;强制访问控制是防范恶意代码的有效手段[J];信息网络安全;2011年09期
7 欧阳艾嘉;许卫明;许小东;;计算机病毒及反病毒技术[J];池州学院学报;2011年03期
8 杨海特;;计算机病毒的危害及防范[J];产业与科技论坛;2011年07期
9 张德平;;基于BOOTKIT原理恶意代码控制技术研究[J];柳州职业技术学院学报;2011年05期
10 徐娜;;2011年7月网络安全监测数据分析[J];信息网络安全;2011年09期
中国重要会议论文全文数据库 前10条
1 刘威;杜振华;苏圣魁;;一种恶意代码评估和预测方法的研究[A];全国计算机安全学术交流会论文集·第二十五卷[C];2010年
2 万琳;廖飞雄;张威;李明亮;;一种恶意代码检测方法的实现[A];第十四届全国容错计算学术会议(CFTC'2011)论文集[C];2011年
3 刘威;刘鑫;杜振华;;2010年我国恶意代码新特点的研究[A];第26次全国计算机安全学术交流会论文集[C];2011年
4 奚琪;王清贤;曾勇军;;恶意代码检测技术综述[A];计算机研究新进展(2010)——河南省计算机学会2010年学术年会论文集[C];2010年
5 庞立会;;恶意代码变形引擎研究[A];2006年全国理论计算机科学学术年会论文集[C];2006年
6 陆宝华;李科;;强制访问控制是防范恶意代码的有效手段[A];第26次全国计算机安全学术交流会论文集[C];2011年
7 任瑞芳;汪学明;;关于木马攻击及防范技术的研究[A];逻辑学及其应用研究——第四届全国逻辑系统、智能科学与信息科学学术会议论文集[C];2008年
8 徐娜;;2011年7月网络安全监测数据分析[A];第26次全国计算机安全学术交流会论文集[C];2011年
9 张健;杜振华;曹鹏;张鑫;苏圣魁;;恶意代码检测技术的研究[A];全国计算机安全学术交流会论文集(第二十三卷)[C];2008年
10 吴果;;Linux操作系统常见攻击与防范技术分析[A];全国第十四届计算机科学及其在仪器仪表中的应用学术交流会论文集[C];2001年
中国重要报纸全文数据库 前10条
1 本报记者 李芳;中小企业更需防范技术泄密[N];河南日报;2009年
2 李代广;中小企业更需防范技术泄密[N];经理日报;2009年
3 本报记者 张奕;瑞星报告称恶意代码侵入比例过半[N];计算机世界;2011年
4 张琳;识破恶意代码的“伪装”[N];网络世界;2007年
5 本报记者 那罡;云安全是一种基础服务架构[N];中国计算机报;2009年
6 冠群金辰技术工程师 刘炯;恶意代码持续潜行[N];中国计算机报;2006年
7 边歆;拒恶意代码于网外[N];网络世界;2008年
8 本报记者 边歆;流氓安全软件带来更多风险[N];网络世界;2009年
9 阳泉煤业集团有限责任公司一矿 王贵生;浅析设备故障预知防范技术[N];山西科技报;2004年
10 本报记者 李响;黑帽大会:手机短信攻击惊人[N];计算机世界;2009年
中国博士学位论文全文数据库 前10条
1 文伟平;恶意代码机理与防范技术研究[D];中国科学院研究生院(软件研究所);2005年
2 张福勇;面向恶意代码检测的人工免疫算法研究[D];华南理工大学;2012年
3 钟金鑫;恶意代码二进制程序行为分析关键技术研究[D];北京邮电大学;2012年
4 孔德光;结合语义的统计机器学习方法在代码安全中应用研究[D];中国科学技术大学;2010年
5 杨天路;网络威胁检测与防御关键技术研究[D];北京邮电大学;2010年
6 潘剑锋;主机恶意代码检测系统的设计与实现[D];中国科学技术大学;2009年
7 林宏刚;可信网络连接若干关键技术的研究[D];四川大学;2006年
8 张波云;计算机病毒智能检测技术研究[D];国防科学技术大学;2007年
9 涂浩;蠕虫自动防御的关键问题研究[D];华中科技大学;2008年
10 王平;大规模网络蠕虫检测与传播抑制[D];哈尔滨工业大学;2006年
中国硕士学位论文全文数据库 前10条
1 周峰;恶意代码防范技术的研究与实现[D];广东工业大学;2011年
2 杨婷;基于行为分析的恶意代码检测技术研究与实现[D];电子科技大学;2010年
3 蒋俊卿;基于复制行为的恶意代码动态检测技术[D];哈尔滨工业大学;2010年
4 龙小书;基于虚拟执行理论的恶意代码检测技术研究[D];电子科技大学;2010年
5 张茜;云安全环境下的恶意代码前端检测技术研究[D];合肥工业大学;2011年
6 苏圣魁;恶意代码事件信息发布平台的研究[D];天津大学;2010年
7 申文迪;隐蔽恶意代码监控平台的设计与实现[D];电子科技大学;2010年
8 李宗峰;基于特征码分析的计算机恶意代码防治技术研究[D];山东大学;2010年
9 杨宇波;恶意代码检测技术的研究[D];北方工业大学;2011年
10 郭宁;基于属性序约简的恶意代码检测技术研究[D];兰州大学;2011年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026