基于APC和SystecmCall替換的進(jìn)程行為監(jiān)控系統(tǒng)的研究與實(shí)現(xiàn).pdf

1、目前針對Windows操作系統(tǒng)的進(jìn)程行為監(jiān)控的研究較少，已存在的工具比較簡單，相關(guān)技術(shù)并未完全公開，因此這些監(jiān)控技術(shù)很容易被當(dāng)前存在的反調(diào)試技術(shù)或軟件發(fā)現(xiàn)，如加入代碼加密和反調(diào)試功能的程序，通過常用的調(diào)試器進(jìn)行直接調(diào)試分析已經(jīng)無法進(jìn)行，常用的進(jìn)程監(jiān)控分析工具或API調(diào)用監(jiān)控工具也無法使用，必須要通過前期的脫殼過程，才能進(jìn)行調(diào)試分析，或者是把已存在的監(jiān)控工具進(jìn)行隱藏，才能進(jìn)行程序的分析。然而，脫殼或隱藏過程需要大量的時間，因?yàn)槌绦虻募用軓?qiáng)

2、度可能很大，對監(jiān)控程序的檢測點(diǎn)也非常之多，想短期內(nèi)對目標(biāo)程序進(jìn)行整體的分析非常困難，而目前病毒、木馬大量泛濫，分析工作越來越難，傳統(tǒng)的分析技術(shù)已經(jīng)落后。通過對Windows操作系統(tǒng)內(nèi)核大量的逆向工程，深入研究Windows內(nèi)核的內(nèi)存管理的基本原理和實(shí)現(xiàn)過程，以及系統(tǒng)創(chuàng)建進(jìn)程的基本過程，從而發(fā)現(xiàn)了一種基于APC和SystemCall替換的全新的進(jìn)程行為監(jiān)控手段，即先創(chuàng)建處于掛起狀態(tài)的目標(biāo)進(jìn)程，通過內(nèi)核驅(qū)動程序修改目標(biāo)進(jìn)程的某些關(guān)鍵內(nèi)核數(shù)據(jù)

3、結(jié)構(gòu)，再利用APC向掛起進(jìn)程插入監(jiān)控模塊，監(jiān)控模塊在目標(biāo)進(jìn)程空間修改關(guān)鍵系統(tǒng)函數(shù)指針SystemCall，從而可以監(jiān)控所有的Native API調(diào)用，從而實(shí)現(xiàn)了一種全新的進(jìn)程行為監(jiān)控系統(tǒng)。該實(shí)現(xiàn)方案不需要對系統(tǒng)進(jìn)行全局掛鉤，只修改目標(biāo)進(jìn)程的內(nèi)存空間，因此只影響單個進(jìn)程，對操作系統(tǒng)的其他進(jìn)程沒有任何影響，有較高的運(yùn)行效率；由于使用APC技術(shù)可以在進(jìn)程剛被創(chuàng)建但開始運(yùn)行之前便修改了相應(yīng)的數(shù)據(jù)結(jié)構(gòu)，從而可以對進(jìn)程從運(yùn)行到死亡的整個過程進(jìn)行完整

4、的監(jiān)控；由于監(jiān)控點(diǎn)是在用戶態(tài)創(chuàng)建的，并且修改的關(guān)鍵系統(tǒng)指針SystemCall只有經(jīng)過特殊內(nèi)核處理以后才可以修改，從而很少會與其它主流監(jiān)控技術(shù)或軟件沖突，并可以很好地與殺毒軟件、主動防御軟件這類安全防護(hù)軟件兼容；由于創(chuàng)建的監(jiān)控點(diǎn)所處的位置非常底層，所有的Native API調(diào)用都可以截獲，再加上監(jiān)控系統(tǒng)主要運(yùn)行在用戶態(tài)，因此可以很方便地進(jìn)行功能擴(kuò)展，從而可以實(shí)現(xiàn)對目標(biāo)進(jìn)程文件操作的監(jiān)控，注冊表操作的監(jiān)控，進(jìn)程操作的監(jiān)控，內(nèi)核驅(qū)動通信的監(jiān)