重慶大學碩士學 位論文 其檢測技術的研究 彭 毅 重慶大學碩士學位論文 目 錄 錄 目 錄 . 緒論 . 5 題背景及問題陳述 . 5 內(nèi)外研究現(xiàn)狀 . 5 文研究工作簡介 . 5 文組 織結(jié)構(gòu) . 5 2 惡意軟件及 . 6 . 6 意軟件及其分類 . 6 惡意軟件概述 . 6 惡意軟件分類 . 6 . 9 . 9 . 10 . 10 . 11 . 12 . 12 . 13 . 13 . 14 . 15 . 15 . 16 結(jié) . 17 3 . 18 . 18 . 18 . 18 . 25 地址模式下的中斷向量表（ . 27 實地址模式、保護模式簡介 . 27 實模式下的 . 28 . 29 . 29 . 30 . 45 重慶大學碩士學位論文 目 錄 接調(diào)用中斷向量躲避 . 46 題提出 . 46 序?qū)崿F(xiàn) . 46 他 . 56 置硬件斷點 . 56 . 67 . 67 塊修改工具介紹 . 67 新工具介紹 . 70 反匯編器 . 71 編譯 器 . 72 虛擬機 . 75 16進制磁盤編輯器 . 75 結(jié) . 76 4 檢測技術研究 . 77 言 . 77 測 . 77 詳細分析 . 78 實現(xiàn) . 79 測 . 87 從 . 87 從 . 89 分析幾種方式獲得的 . 90 審計 . 92 測 . 93 提取 息 . 93 操作系統(tǒng)中讀取系統(tǒng) . 94 進行 . 95 計 . 96 獲取原始 . 96 對 . 97 止 . 97 硬件跳線防止刷新 . 97 阻止 . 97 行 . 98 結(jié) . 98 5 實驗結(jié)果及其結(jié)果分析 . 99 言 . 99 真環(huán)境 . 99 . 100 驗結(jié)果綜合分析 . 102 重慶大學碩士學位論文 目 錄 結(jié) . 102 6 結(jié)語 . 103 文工作總結(jié) . 103 來研究展望 . 103 參考文獻 . 104 重慶大學碩士學位論文 5 1 緒論 題背景及問題陳述 隨著全球信息化普及程度的提高，計算機安全問題也日趨嚴重。惡意軟件成為威脅計算機安全的一大分支。 為惡意軟件的一個特定類型， 是近年來國內(nèi)外計算機安全領域熱門的研究課題，特 別是新興的 支 調(diào)把傳統(tǒng)的 術和 片相結(jié)合， 其較強隱蔽性和較大破壞力，幾乎可以躲過現(xiàn)有的任何計算機安全檢測軟件的檢測，這使得計算機安全檢測領域面臨巨大挑戰(zhàn) 。 因此，對 檢測研究工作 已 成為 必要而 緊迫的 事情 。 對 測的研究可以采用目前成熟的檢測思路和方法，考慮 在于 片的特殊性來進行。因此是比較可行的。 對 以發(fā)現(xiàn) 類破壞力極大的 政府、企業(yè)及個人的信息安全保駕護航。 內(nèi)外研究現(xiàn)狀 由于 寫難度大，較大依賴硬件特性，致使其實現(xiàn)技術一直鮮有公布。 國內(nèi)外 對 于 檢測 研究目前尚 處于起步階段。 檢測 研究之所以進度緩慢，這主要是因為 諸多特點所致，比如： 夠第一時間獲取系統(tǒng)主動權 ；能 不在硬盤上留下痕跡 ； 能夠重復感染已有操作系統(tǒng)或新裝系統(tǒng) ； 能夠?qū)箮缀跛鞋F(xiàn)有的 毒、審計等安全軟件 ； 于檢測 而且 難于清除 。 因此對于 測的研究工作基本上屬于探索性的嘗試研究。 文研究工作簡介 本文主要進行了 實現(xiàn)技術剖析和 檢測工作。在研發(fā)過程中，本文提出了通過檢測 方法來檢測 編寫了程序加以驗證。實驗證明，該方法能夠順利檢測出采用 術的 文組織結(jié)構(gòu) 本文主要研究 其相關檢測技術，因此 本文主要分為四大部分來重慶大學碩士學位論文 6 進行。 第二章主要就 相關概念進行闡述。 一個特定類型，而 是一種惡意軟件類型。因此，這一章首先闡明什么是惡意軟件，然后逐次討論 其的相關關系。 第三章和第四章是本文的重點章節(jié)。 第三章從靜態(tài)和動態(tài)兩個方面來剖析分析相關技術實現(xiàn)。靜態(tài)分析即對 件結(jié)構(gòu)進行分析，動態(tài)分析則對 行流程進行闡述。本章還對 例 行分析，以深入研究 典型實現(xiàn)技術和方法。 第四章基于第三章研究的基礎上，也從靜態(tài)和動態(tài)兩大方面討論 中檢測 動態(tài)檢測，審計 件、審計 備信息和審計 靜態(tài)檢測。 第五章就第三章的 測技術，進行詳細的驗證實驗。 2 惡意軟件及 于 一個特定分支，而 惡意軟件的一種。因此對惡意軟件進行分析總結(jié)，有利于認識 究的本質(zhì)。 意軟件及其分類 惡意軟件 概述 惡意軟件是非用戶期望運行的、懷有惡意目的或完成惡意功能的軟件的統(tǒng)稱。惡意代碼 (義與惡意軟件相近 ， 區(qū)別在于所描述的粒度不同。惡意代碼用于描述完成特定惡意功能的代碼片段 ， 而惡意軟件則指完成惡意功能的完整的程序集合 52 53 54。 惡意軟件分類 惡意軟件的種類較多 ， 如 病毒 )， 蠕蟲 )， 特洛伊木馬 )， 漏洞利用程序 ) ， 后門 ) , 間諜軟件 )， 垃圾信息發(fā)送軟件 )， 垃圾廣告軟件 )等 。 在對惡意軟件的名稱引用上存在一些混用 、 指代不明的情況 ， 如將所有導致計算機工作不正常的惡意軟件都稱為病毒 ,將未授權隱藏在計算機內(nèi)運行的惡意軟件都稱為 (特洛 伊 )木馬等。本文對惡意軟件進行系統(tǒng)的分類 ， 以明確 、 規(guī)范各類惡意軟件的概念 ，區(qū)分其間的差異 52 53 54。 重慶大學碩士學位論文 7 根據(jù)不同惡意軟件所完成的功能在完整的入侵過程中所處階段的不同 ,我們將惡意軟件分為三種類型。 1. 獲取目標系統(tǒng)遠程控制權類 漏洞利用程序 )。它是第一類惡意軟件的基本形式。 用操作系統(tǒng)或應用程序 中存在的缺陷 (,可達到以非授權的方式遠程控制目標系統(tǒng)或提升本地用戶權限的目的。具體過程為 :構(gòu)造特定的輸入數(shù)據(jù)并提交給存在缺陷的操作系統(tǒng)程序或應用程序 ,使這些有缺陷的程序在所構(gòu)造的輸入數(shù)據(jù)下 ,正常的程序流程發(fā)生改變 ,從而導致未授權用戶可以遠程控制目標系統(tǒng) ,或使本地用戶獲得更高的權限。 特洛伊木馬 ) ,簡稱為 木馬 )。它是偽裝成合法程序以欺騙用戶執(zhí)行的一類惡意軟件。使用 侵目標系統(tǒng)的具體過程為 : 先通過網(wǎng)絡或各種存儲介質(zhì)傳 播到用戶處 ,因其具有偽裝、欺騙性 ,常被經(jīng)驗不足或防范意識較差的用戶執(zhí)行后 ,釋放出其攜帶的 門 )以實現(xiàn)對目標主機的遠程控制 ,在必要時還可釋放出其攜帶的 提升用戶權限。 蠕蟲 )。它具有自我繁殖能力 ,無需用戶干預便可自動在網(wǎng)絡環(huán)境中傳播的一類惡意軟件。 用目標系統(tǒng)的 弱口令 )或目標系統(tǒng)中存在的缺陷獲得對目標系統(tǒng)的遠程控制權 ,并搜集目標系統(tǒng)內(nèi)的相關信息從而將 m 自身傳染至與目標系統(tǒng)有網(wǎng)絡聯(lián)系的其他系統(tǒng)。 身的 存在有兩種形式 ,即可執(zhí)行文件的形式和內(nèi)存中進程 /線程的形式。當以進程 /線程的形式存在時 ,傳播過程中 目標系統(tǒng)內(nèi)不涉及文件操作 ,具有更強的隱蔽性。與 似 ,包含 以便在成功入侵目標系統(tǒng)后完成特定的業(yè)務邏輯 ,如 分的功能是對白宮 務器進行 絕服務 )攻擊。 概念與 近。若某 分包含一個 稱該 者說可遠程控制的 為 進一步 ,然具有自主繁殖、傳播的能力 ,但其傳播出去之后就不再受控 ,不能根據(jù) ;而 此可見 ,危害性比大 ,制作精巧的 至可以根據(jù)發(fā)布者的意圖對其 分進行升級以適應新的環(huán)境或完成新的功能。被 功入侵后的受控主機即為 儡主機 ),一組 稱為 當前 的 主要安全威脅之一的 布式拒絕服重慶大學碩士學位論文 8 務 )攻擊就是通過向 出針對特定目標的 擊命令來完成的。 毒 )。它是依附于宿主文件 ,在宿主文件被執(zhí)行的條件下跟隨宿主文件四處傳播并完成特定業(yè)務功能的一類惡意軟件 。 結(jié)構(gòu)與 ,除包含用于傳播自身的 病毒頭部 )外 ,還包含用于完成特定業(yè)務邏輯的 分。 容易混淆的兩個概念。兩者主要區(qū)別在于 : 傳播無需宿主文件 ,可通過網(wǎng)絡直接將 身傳播到目標系統(tǒng) ;而病毒傳播需要宿主文件 ,病毒只能寄生在宿主文件中。 繁殖、傳播無需人工干預 ,由 主、自動完成 ;病毒的傳播需要人工干預。首先 ,病毒的傳播依賴于宿主文件的位置改變 ,宿主文件到哪里 ,病毒才可能傳播到哪里。其次 ,若宿主文件未被執(zhí)行 ,則寄生其中的病毒便不會感染目標系統(tǒng)。 2. 維持遠程控制權類 門 )。它是一類運行在目標系統(tǒng)中 ,用以提供對目標系統(tǒng)未經(jīng)授權的遠程控制服務的惡意軟件。需要注意的 是 , 第一類惡意軟件不同 , 作用是通過其運行以提供對目標系統(tǒng)未經(jīng)授權的遠程控制的服務 ;而第一類惡意軟件需要利用各種手段來達到此目的 ,即須在目標系統(tǒng)上運行才能提供相應的服務 ,因此必須先使用第一類惡意軟件以獲得在目標系統(tǒng)上執(zhí)行程序的權限。第一類惡意軟件是揮作用的前提和基礎 ,行后 ,后續(xù)對目標系統(tǒng)的遠程控制均通過 供的服務來完成。 概念起源于 作系統(tǒng) ,最初是指 統(tǒng)中一組用于獲取并維持 限的工具集。發(fā)展至今日 ,被廣為接受的 念是指用于幫助入侵者在獲取目標主機管理員權限后 ,盡可能長久地維持這種管理員權限的工具 。在當前的 念中 ,獲取管理員權限的過程不由 完成 ,即 使用基于已經(jīng)獲得了管理員權限的假設。由 概念可知 ,提供了一條非授權訪問、控制目標系統(tǒng)的“通道” ,但并不涉及對這條通道的保護 ,因此這條通道很容易被目標系統(tǒng)上的管理員或網(wǎng)絡安全設備察覺或檢 測到。作用是要盡可能長久地維持對目標系統(tǒng)的遠程控制，故其基本任務就是要隱藏所提供的通道 ,盡可能使得目標系統(tǒng)上的管理員或安全設備不能察覺、檢測到該通道的存在。當前主流操作系統(tǒng)平臺下的 內(nèi)核級的 做到對操作系統(tǒng)中的進程、線程、網(wǎng)絡連接、網(wǎng)絡數(shù)據(jù)、 網(wǎng)絡通信目的地的深度隱藏 ,以保護目標系統(tǒng)中運行重慶大學碩士學位論文 9 的惡意軟件不被檢測到。在實際應用中通常直接包含了 功能。因此 ,可將 解為帶隱藏功能的 3. 完成特定業(yè)務邏輯類 間諜軟件 ) 。它是典型的第三類惡意軟件 ,用于從目標系統(tǒng)中收集各種情報、信息 ,如商業(yè)、軍事情報，用戶信用卡號、 個人隱私信息 /文檔 ,各種網(wǎng)站 /郵箱用戶名、 口令等信息。收集到這些信息后 , 保護下 , 身以及 產(chǎn)生的網(wǎng)絡通信都被隱藏 ,使得 在目標系統(tǒng)中安全地存活下來。 圾信息發(fā)送軟件 )。為了避免被追查 ,非期望的垃圾信息 ,如垃圾郵件 )的發(fā) 送者通常不會直接使用自己的主機發(fā)送垃圾信息。為了加大垃圾信息的發(fā)送范圍 ,僅僅用一臺主機發(fā)送垃圾信息是不夠的。垃圾信息發(fā)送軟件 ) 就是運行在大量被入侵主機中用于發(fā)送垃圾信息的惡意軟件 , 目標系統(tǒng)中的運行途徑與 似。 垃圾廣告軟件 ) 。它運行在被入侵主機中 ,用于以各種方式顯示垃圾廣告的惡意軟件。 目標系統(tǒng)中的運行途徑與 似。 他第三類惡意軟件。其種類很多 ,根據(jù)具體應用需求不同而不同 ,如對目標系統(tǒng)進行攻擊 /破 壞的惡意軟件有多種不同的類型 ,但目前尚無統(tǒng)一規(guī)范的命名。 計算機安全領域的一個術語，來自 個單詞的組合，其中 統(tǒng)中超級用戶的名稱，擁有系統(tǒng)的最高權限； 是工具套件的意思 57。目前 沒有權威的中文翻譯，因此在本論文中，為了信息的準確性，使用英文 基百科 (關于 定義如下 56：“ 攻擊者在入侵系統(tǒng)后用來保持對系統(tǒng)的超級用戶訪問權限，創(chuàng)建后門和隱藏攻擊痕跡等常采用的一種技術。 在于 各種操作系統(tǒng)上?！?重慶大學碩士學位論文 10 早 出現(xiàn)在 1994 年， 其 主要攻擊 作系統(tǒng)，特別是 8。在 1994 年 2 月的一篇安全咨詢報告中首先使用了 個名詞。這篇安全咨詢就是 目是 5。 那時的 要替換 系統(tǒng)工具，方便用戶再次登陸系統(tǒng)。記錄最早的 現(xiàn)在 1994 年 10 月 58。它主要替換 系統(tǒng)工具，可以隱藏網(wǎng)絡連接和進程 57。 的內(nèi)核級 早出現(xiàn)在 1997 年 59，從那以后，內(nèi)核級 2002 年 1 月，安大略大學的巴朗莫坦發(fā)現(xiàn)了一個奇怪的現(xiàn)象，一個 驅(qū)動引起了系統(tǒng)崩潰（ 最后經(jīng)過專家們的鑒定，稱之為這是一種很罕見的 從此 始在 統(tǒng) 流行 61。 一個 已知的 臺上的 站的創(chuàng)始人 1999 年發(fā)布的0，它可以隱藏注冊表項和重定向可執(zhí)行程序。 現(xiàn)在，幾乎所有的操作系統(tǒng)（包括 ）都受到 攻擊。 攻擊方法也越來越高明，從剛開始的替換系統(tǒng)庫和系統(tǒng)工具文 件，深入到攻擊操作系統(tǒng)內(nèi)核 57。本文的研究主要針對 統(tǒng)，但是很多成果也可以應用到其它的系統(tǒng)上。 一種特殊類型的 意軟件）。 所以特殊是因為您不知道它們在做什么事情。 本上是無法檢測到的，而且?guī)缀醪豢赡軇h除它們。雖然檢測工具在不斷增多，但是惡意軟件的開發(fā)者也在不斷尋找新的途徑來掩蓋他們的蹤跡。 目的在于隱藏自己以 及其他軟件不被發(fā)現(xiàn)。它可以通過阻止用戶識別和刪除攻擊者的軟件來達到這個目的。 乎可以隱藏任何軟件，包括文件服務器、鍵盤記錄器、 多 至可以隱藏大型的文件集合并允許攻擊者在您的計算機上保存許多文件，而您無法看到這些文件。 身不會像病毒或蠕蟲那樣影響計算機的運行。攻擊者可以找出目標系統(tǒng)上的現(xiàn)有漏洞。漏洞可能包括：開放的網(wǎng)絡端口、未打補丁的系統(tǒng)或者具有脆弱的管理員密碼的系統(tǒng)。在獲得存在漏洞的系統(tǒng)的訪問權限之后，攻擊者便可手動安裝一個 種類型的偷偷摸摸的攻擊通常不會觸發(fā)自動執(zhí)行的網(wǎng)絡安全控制功能，例如入侵檢測系統(tǒng)。 重慶大學碩士學位論文 11 從 裝類型來分， 文獻 62把 為 4 種類型： 簡單偽裝、直接偽裝、相似偽裝和環(huán)境偽裝。 從 操作 系統(tǒng)結(jié)合程度來分，又可分為應用程序級 系統(tǒng)工具級 內(nèi)核級 個 類型 57。 簡單偽 裝類不偽裝為現(xiàn)有程序，而是偽裝為系統(tǒng)中可能存在的程序，它不更改系統(tǒng)中任何文件，應用程序級 于這一類 ； 直接偽裝類直接將自身偽裝成正常程序，系統(tǒng)工具級 于這一類 ； 相似偽裝類具有與已存在程序相似的名稱，它是另一類應用程序級 環(huán)境偽裝類不易被用戶所察覺，內(nèi)核級于這一類 57。 系統(tǒng)工具級 內(nèi)核級 當前計算機網(wǎng)絡中最主要的威脅。系統(tǒng)工具級 過修改或替換系統(tǒng)現(xiàn)有的 二進制程序和系統(tǒng)工具，不但能夠使系統(tǒng)存在后門連接并且隱藏攻擊者在系統(tǒng)中的存在 63，內(nèi)核級 改系統(tǒng)底層核心來隱藏與 關的文件、進程等信息 57。 各類 念及 特點分別如下 57： 1. 應用程序級 指入侵到操作系統(tǒng)應用程序?qū)拥?常是指攻擊者安裝于目標系統(tǒng)的額外惡意程序， 提供黑客再次以超級用戶權限訪問系統(tǒng)的功能。應用程序級 通過多種途徑安裝于目標系統(tǒng)，攻擊者可試圖欺騙用戶安裝應用程序級 它不能提供給攻擊者系統(tǒng)管理員權限，它只能使攻擊者獲得安裝該應用程序級 用戶權限，而不一定是超級用戶權限。攻擊者可先通過安裝具有超級用戶權限的后門程序，之后再安裝一個應用程序級個后門程序通常在系統(tǒng)后臺以超級用戶的權限或系統(tǒng)權限運行 63 64，它不替換目標機器上現(xiàn)有的任何程序，而只是額外安裝在目標機器上的程序。 2. 系統(tǒng)工具級 公認的傳統(tǒng) 指入侵到操作系統(tǒng)工具層的通常替換或修改一些系統(tǒng)工具，比如 / 。這類 作系統(tǒng)中，如 它們通常用來從系統(tǒng)中提取信息，比如運行的進程，文件系統(tǒng)的內(nèi)容，網(wǎng)絡連接狀態(tài)等。 換這些系統(tǒng)工具主要有兩個目的：重新獲得超級用戶訪問權限和隱藏攻擊痕跡。 3. 內(nèi)核級 計算機系統(tǒng)安全領域 近幾年 出現(xiàn)的一種攻擊方法。操作系統(tǒng)內(nèi)核處在整個操作系統(tǒng)的最底層，被認為是目前多數(shù)操作系統(tǒng)中最基本的部分65，文件系統(tǒng)、進程調(diào)度、存儲管理和系統(tǒng)調(diào)用等都是在操作系統(tǒng)內(nèi)核中實現(xiàn)。內(nèi)核級 指入侵到操作系統(tǒng)內(nèi)核層的 傳統(tǒng)的修改關鍵系統(tǒng)工具的 同的是，內(nèi)核級 常會修改最底層的操作系統(tǒng)內(nèi)核，比如中斷處理函數(shù)，系統(tǒng)調(diào)用，文件系統(tǒng)等。由于操作系統(tǒng)內(nèi)核在操作系統(tǒng) 的最底層，如果內(nèi)核受到 擊，應用層的程序從內(nèi)核獲得的信息將不可信。雖然內(nèi)核重慶大學碩士學位論文 12 級 以不修改系統(tǒng)工具，但是系統(tǒng)工具都需要通過系統(tǒng)調(diào)用從內(nèi)核獲取信息，而內(nèi)核提供的信息不可靠，因此系統(tǒng)工具 (比如 ls,ps, )的輸出信息也變得不可靠，我們不能用系統(tǒng)工具來檢測內(nèi)核級 外，內(nèi)核級 可能在內(nèi)核中隱藏自己的文件和目錄信息，使得文件完整性檢測工具檢測不到新增的文件。與其他類型 比，內(nèi)核級 破