間諜軟件的隱藏機(jī)制及其檢測技術(shù).pdf

1、進(jìn)入新世紀(jì)以來，網(wǎng)絡(luò)基礎(chǔ)設(shè)施架構(gòu)和網(wǎng)絡(luò)應(yīng)用都得到了迅猛的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)普及程度和網(wǎng)絡(luò)用戶數(shù)量的急劇增長，隨之帶來的網(wǎng)絡(luò)安全問題也與日俱增。在眾多的安全威脅中，間諜軟件毫無疑問是危害最大風(fēng)險(xiǎn)最高的，圍繞這一話題進(jìn)行的研究和開發(fā)工作也成為了網(wǎng)絡(luò)安全領(lǐng)域的熱點(diǎn)。尤其是在用戶基數(shù)龐大Windows平臺上，間諜軟件更是代表了安全領(lǐng)域最前沿的技術(shù)潮流。本文研究的目標(biāo)正是基于Windows平臺的間諜軟件。 間諜軟件之所以危害巨大，是因?yàn)樾滦?/p>

2、的間諜軟件通常裝備了特殊的隱藏技術(shù)，讓自己逃避管理員和掃描工具的檢測，達(dá)到隱藏自身痕跡長期潛伏的目的。網(wǎng)絡(luò)入侵者在突破網(wǎng)絡(luò)外層防御后，往往通過間諜軟件來逐步實(shí)現(xiàn)對于目標(biāo)網(wǎng)絡(luò)內(nèi)部的滲透和信息竊取。因此，本文對間諜軟件所采用的流行檢測技術(shù)進(jìn)行了分析，從原理和技術(shù)實(shí)現(xiàn)的角度剖析了常見的進(jìn)程、通信端口、注冊表以及文件隱藏技術(shù)。 間諜軟件與病毒一樣，屬于惡意代碼的一種，對應(yīng)的檢測技術(shù)也在不斷的研究和發(fā)展中。本文對流行的反病毒和反間諜軟件所

3、采用的傳統(tǒng)檢測方法進(jìn)行了總結(jié)和歸納，分析其優(yōu)勢和薄弱之處。同時，由于安全領(lǐng)域內(nèi)檢測技術(shù)與隱藏技術(shù)的對抗一直在進(jìn)行，本文還對目前網(wǎng)絡(luò)安全技術(shù)中一些針對隱藏行為的檢測技術(shù)進(jìn)行了分析，包括進(jìn)程檢測，Hook函數(shù)檢測以及執(zhí)行路徑分析等等。 通過對間諜軟件隱藏技術(shù)以及現(xiàn)有檢測技術(shù)的分析，本文提出了基于交叉掃描的間諜軟件檢測方法，該方法利用差異比較的原理，將底層掃描得到的可信任系統(tǒng)信息與高層掃描得到的不可信任系統(tǒng)信息進(jìn)行比較，提取出隱藏行為