Windows NT環(huán)境下的惡意隱藏檢測分析工具研究和應(yīng)用.pdf

1、近年來，網(wǎng)上交易平臺發(fā)展迅猛，密碼被竊取后造成重大經(jīng)濟(jì)損失的案件卻層出不窮，屢見不鮮。用戶普遍具有密碼保護(hù)意識，通常也都使用了安全軟件，可是卻在不知不覺中被盜走密碼，主要原因是惡意程序大多使用了隱藏技術(shù)，隱藏在系統(tǒng)之中卻不被發(fā)現(xiàn)，因此反隱藏就成為在病毒防護(hù)過程中的極為重要的一環(huán)。
　　惡意程序的隱藏手段現(xiàn)在已經(jīng)衍化出多種技術(shù)。在用戶態(tài)主要有各類注入技術(shù)和掛鉤技術(shù)，在內(nèi)核態(tài)有內(nèi)核函數(shù)掛鉤技術(shù)和基于多種不同的內(nèi)核數(shù)據(jù)和對象的隱藏技術(shù)。

2、本文以惡意代碼所使用的隱藏技術(shù)為研究對象，設(shè)計并實(shí)現(xiàn)了一個綜合內(nèi)核態(tài)與用戶態(tài)多種方法和手段的進(jìn)程隱藏檢測和分析工具。在用戶態(tài)，使用基于系統(tǒng)調(diào)用行為的分析方法實(shí)現(xiàn)了對進(jìn)程隱藏行為的檢測和分析，并針對基于動態(tài)調(diào)用API的免殺技術(shù)提出并實(shí)現(xiàn)了一種基于JMP跳轉(zhuǎn)監(jiān)視的分析方法。在內(nèi)核態(tài)使用基于驅(qū)動程序的內(nèi)核編程技術(shù)，對內(nèi)核中EPROCESS鏈表，系統(tǒng)服務(wù)描述表，PspCidTable句柄表等內(nèi)核數(shù)據(jù)和結(jié)構(gòu)進(jìn)行監(jiān)視。通過比較多種內(nèi)核數(shù)據(jù)的變化，獲