木馬本機(jī)文件訪問行為監(jiān)測方法研究.pdf

1、隨著計算機(jī)技術(shù)的飛速發(fā)展，新型的互聯(lián)網(wǎng)技術(shù)也被廣泛運(yùn)用到各個領(lǐng)域，并為它們帶來了巨大的便利。然而，互聯(lián)網(wǎng)技術(shù)在帶來巨大便利的同時，也引發(fā)了諸多安全問題。目前，計算機(jī)安全領(lǐng)域正在面臨巨大挑戰(zhàn)，傳統(tǒng)的病毒，蠕蟲等以破壞計算機(jī)為目的惡意程序也逐漸被隱蔽性更強(qiáng)，以竊取用戶信息為目的的木馬所取代。因此，研究木馬的原理、技術(shù)及相應(yīng)的檢測技術(shù)就具有重要意義。
　　論文系統(tǒng)的分析、闡述了木馬的工作原理，行為特點，隱蔽技術(shù)以及現(xiàn)有監(jiān)測技術(shù)。在現(xiàn)有木

2、馬檢測防御基礎(chǔ)之上，通過木馬行為模式的研究，提出了一種新型的基于木馬本機(jī)文件訪問行為的監(jiān)測方法來對木馬的行為進(jìn)行監(jiān)測。本方法通過提取出木馬一種特定行為模式序列--木馬本機(jī)文件搜索行為與文件讀寫取行為序列，由于該行為模式在正常程序中基本不會見到，因此通過監(jiān)測程序行為是否符合該行為模型，即可判斷其是否為木馬程序。
　　本新型方法的關(guān)鍵技術(shù)主要使用了API HOOK、SSDT HOOK等技術(shù)，并且介紹了每種技術(shù)的原理，特點及應(yīng)用場景。最