(論文)基于行為的入侵防護(hù)技術(shù)研究

天津大學(xué) 碩士學(xué)位論文 基于行為的入侵防護(hù)技術(shù)研究 姓名：余保明 申請學(xué)位級別：碩士 專業(yè)：計(jì)算機(jī)應(yīng)用技術(shù) 指導(dǎo)教師：張鋼 20070601 中文摘要 網(wǎng)絡(luò)安全問題己成為信息時代人類共同面臨的挑戰(zhàn)，國內(nèi)的網(wǎng)絡(luò)安全問題也 日益突出。計(jì)算機(jī)惡意代碼使用的技術(shù)也在不斷深化，有些惡意代碼可以終止、 修改或掛起殺毒軟件、防火墻等安全軟件的進(jìn)程，使系統(tǒng)的保護(hù)機(jī)制失效。因此， 如何防止病毒和木馬的運(yùn)行、如何檢測系統(tǒng)進(jìn)程和可信進(jìn)程不受其它進(jìn)程的入侵 攻擊是一項(xiàng)重要的研究課題。 本文的主要研究結(jié)果是：論文討論了國內(nèi)外入侵檢測發(fā)展現(xiàn)狀，深入剖析了 幾個典型病毒和木馬程序的運(yùn)行機(jī)理，在此基礎(chǔ)上提出了一個基于行為的入侵防 護(hù)系統(tǒng)模型，該模型完全符合P P D R 的動態(tài)安全防護(hù)要求。同時描述了該模型的 結(jié)構(gòu)以及在策略、檢測、響應(yīng)和保護(hù)四個環(huán)節(jié)的工作原理，分析了該模型的優(yōu)缺 點(diǎn)；其次在分析進(jìn)程的各種入侵攻擊行為的基礎(chǔ)上，深入研究了實(shí)現(xiàn)入侵防護(hù)模 型的關(guān)鍵技7 卜通過采用內(nèi)核修補(bǔ)技術(shù)，實(shí)現(xiàn)了與操作系統(tǒng)的無縫連接，在內(nèi) 核態(tài)中完成了對進(jìn)程入侵攻擊行為的攔截；入侵防護(hù)系統(tǒng)擔(dān)負(fù)著控制進(jìn)程創(chuàng)建和 保護(hù)系統(tǒng)進(jìn)程和可信進(jìn)程不受其它進(jìn)程攻擊的使命，因此，本文對如何保證入侵 防護(hù)系統(tǒng)自身的安全也進(jìn)行了研究。 關(guān)鍵詞：入侵防護(hù)進(jìn)程防護(hù)惡意代碼病毒 A B S T R A C T T h en e t w o r ks e c u r i t yh a sb e c o m eac h a l l e n g et O a l lh u m a nb e i n g si nt h e i n f o r m a t i o na g e T h et e c h n o l o g yo fu s i n gc o m p u t e rm a l i c i o u sc o d ei sd e e p e n i n g ，s o m e m a l i c i o u sc o d e sc a ne v e nt e r m i n a t e ，a l t e ra n dh a n gt h ep r o c e s so ft h ea n t i v i r u s s o f t w a r e ，f i r e w a l la n di n v a l i d a t e i t sg u a r dm e c h a n i s m S oh o wt Op r e v e n tt h e o p e r a t i o no fv i r u sa n dT r o j a nh o r s e ，a n dh o wt o d e t e c tt h es y s t e mp r o c e s sa n d r e l i a b i l i t yp r o c e s sf r e ef r o mt h ei n v a s i o no fo t h e rp r o c e s s e si sa ni m p o r t a n tr e s e a r c h s u b j e c t I nt h i sp a p e r ，w eh a v e d o n es o m er e s e a r c ha b o u tt h ef o ll o w i n gs u b j e c t s ：F i r s t , w e d i s ；c u s s e dt h ep r e s e n ts i t u a t i o no fi n v a s i o nd e t e c t i o nb o t hh o m ea n da b r o a d ，t h e nw e a n a l y z e dt h eo p e r a t i o nm e c h a n i s m o fs o m et y p i c a lv i r u s e sa n dT r o j a nh o r s ep r o g r a m s d e e p l ya n dr a i s e dab e h a v i o r - b a s e di n v a s i o ng u a r ds y s t e mm o d e l T h i sm o d e l c o h e r e s w i t ht h ed y n a m i cs e c u r i t yg u a r dd e m a n d so fP P D R W ed e s c r i b e dt h em o d e l S s t r u c t u r ea n di t sw o r k i n gp r i n c i p l e so fs t r a t e g y ，d e t e c t i o n ，r e a c t i o na n dg u a r d ，t h e nw e a n a l y z e dt h em o d e l Sa d v a n t a g e sa n dd i s a d v a n t a g e s ；m e a n w h i l e ，i n t h ep a p e rw e s t u d i e dt h ek e yt e c h n o l o g yo fr e a l i z i n gt h ei n v a s i o ng u a r ds y s t e md e e p l yb a s e d o nt h e a n a l y s i so fi n v a s i o nb e h a v i o r s W ea c c o m p l i s h e dt h ec o n n e c t i o nb e t w e e no u rs y s t e m a n dt h eo p e r a t i n gs y s t e m ，a n dw ea l s oa c c o m p l i s h e dt h ei n t e r c e p t i o no fi n v a s i o n b e h a v i o r s T h ei n v a s i o ng u a r ds y s t e mu n d e r o o kt h ec r e a t i o no fc o n t r o lp r o c e s sa n d t h em i s s i o no fg u a r dp r o c e s sa n dr e l i a b i l i t yp r o c e s sf r e ef r o mt h ei n v a s i o no fo t h e r p r o c e s s e s W eh a v ea l s od o n es o m er e s e a r c ho nt h ei n v a s i o ng u a r ds y s t e m Ss e l f s e c u r i t y K E YW O R D S ：I n v a s i o nG u a r dP r o c e s sP r o t e c t i o n M a l i c i o u sC o d e sV i r u s 獨(dú)創(chuàng)性聲明 本人聲明所呈交的學(xué)位論文是本人在導(dǎo)師指導(dǎo)下進(jìn)行的研究工作和取得的 研究成果，除了文中特別加以標(biāo)注和致謝之處外，論文中不包含其他人已經(jīng)發(fā)表 或撰寫過的研究成果，也不包含為獲得墨鲞盤堂或其他教育機(jī)構(gòu)的學(xué)位或證 書而使用過的材料。與我一同工作的同志對本研究所做的任何貢獻(xiàn)均已在論文中 作了明確的說明并表示了謝意。 學(xué)位論文作者簽名： 嬋醐：叩 學(xué)位論文版權(quán)使用授權(quán)書 年毛勇| 畛 本學(xué)位論文作者完全了解：叁壅盤堂有關(guān)保留、使用學(xué)位論文的規(guī)定。 特授權(quán)苤鲞盤堂可以將學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫進(jìn)行檢 索，并采用影印、縮印或掃描等復(fù)制手段保存、匯編以供查閱和借閱。同意學(xué)校 向國家有關(guān)部門或機(jī)構(gòu)送交論文的復(fù)印件和磁盤。 ( 保密的學(xué)位論文在解密后適用本授權(quán)說明) 學(xué)位論文作者簽名：鋤 簽字嗍沖年月，細(xì) 導(dǎo)師簽名：虧猛新刁 簽字日期：叩年石月夕日 天津人學(xué)碩士學(xué)位論文 第一章緒論 1 1 引言 第一章緒論 目前，網(wǎng)絡(luò)系統(tǒng)的廣泛應(yīng)用已為企業(yè)的管理、運(yùn)營和統(tǒng)計(jì)等帶來了前所未有 的高效和快捷，但同時計(jì)算機(jī)網(wǎng)絡(luò)的安全隱患亦日益突出。 國際咨詢服務(wù)機(jī)構(gòu)F r o s ta n dS u l l i v a n 近日宣稱，逾七成亞洲企業(yè)遭遇過網(wǎng)絡(luò) 安全入侵，與日俱增的網(wǎng)絡(luò)攻擊行為迫使計(jì)算機(jī)用戶為了防止病毒、木馬和惡意 代碼對主機(jī)系統(tǒng)的破壞以及為了保護(hù)自己的敏感信息不被竊取，一般都安裝殺毒 軟件；如果主機(jī)接入因特網(wǎng)，為了防止黑客攻擊還要安裝個人防火墻。即使這樣， 仍有數(shù)不勝數(shù)的主機(jī)因遭到病毒、木馬和惡意代碼的入侵和破壞而造成了重大的 經(jīng)濟(jì)損失。這是因?yàn)閭鹘y(tǒng)的殺毒軟件存在局限性，它們都是通過模式匹配的方式 來查找已知的病毒、木馬和惡意代碼，但對于新出現(xiàn)的病毒和已知病毒的變種不 能夠進(jìn)行有效地檢測；傳統(tǒng)的個人防火墻只能進(jìn)行包過濾，對于病毒的侵襲也是 束手無策。 國內(nèi)普遍使用的反病毒軟件主要有瑞星、江民、賽門鐵克、卡巴斯基等公司 的產(chǎn)品。其最新版殺毒軟件中都實(shí)現(xiàn)了對計(jì)算機(jī)的實(shí)時監(jiān)控，如果安裝了這些反 毒病軟件，就可以對文件、郵件、內(nèi)存、引導(dǎo)區(qū)、網(wǎng)頁、注冊表等進(jìn)行實(shí)時監(jiān)控， 這在一定程度上降低了系統(tǒng)遭受未知病毒入侵的風(fēng)險性，有效地保護(hù)計(jì)算機(jī)系統(tǒng) 的安全，但是，這些反病毒軟件都沒有做好入侵前的充分防護(hù)?，F(xiàn)在，許多病毒 通過利用遠(yuǎn)程插入線程技術(shù)、全局掛鉤技術(shù)將惡意代碼注射到其它進(jìn)程中運(yùn)行， 有的木馬甚至采用內(nèi)核驅(qū)動技術(shù)來隱藏文件名、注冊表信息、進(jìn)程名、端口名等。 這給查毒和殺毒帶來了相當(dāng)?shù)碾y度。 入侵防護(hù)系統(tǒng)所遵循的思想就是：“把充分的防護(hù)措施做到惡意代碼入侵之 前”。入侵防護(hù)所要實(shí)現(xiàn)的目標(biāo)是保護(hù)W i n d o w s 系統(tǒng)進(jìn)程和用戶可信進(jìn)程免受其 它進(jìn)程、服務(wù)、驅(qū)動程序、以及系統(tǒng)上的其它形式的可執(zhí)行代碼的攻擊；未被用 戶許可的程序不讓運(yùn)行。 面對復(fù)雜的網(wǎng)絡(luò)環(huán)境，依靠傳統(tǒng)單一防病毒、防火墻等產(chǎn)品，不足以完全制 服廣泛傳播的網(wǎng)絡(luò)威脅。順應(yīng)新時期安全需求，只有將防病毒、防火墻、入侵檢 測、漏洞掃描等多項(xiàng)安全技術(shù)緊密集成在一起，形成整體的安全解決方案才能真 正抵御威脅入侵I lJ 。因此，研制和開發(fā)基于行為的入侵防護(hù)系統(tǒng)是非常有必要的， 它是對目前流行的反病毒軟件的有力補(bǔ)充。反病毒軟件的計(jì)算機(jī)實(shí)時監(jiān)控、個人 天津人學(xué)碩l j 學(xué)位論文 第一章緒論 防火墻和入侵防護(hù)系統(tǒng)組成了一張主機(jī)安全防護(hù)網(wǎng)，可以對計(jì)算機(jī)系統(tǒng)特別是主 機(jī)系統(tǒng)實(shí)施有效的保護(hù)。 1 2 國內(nèi)外研究現(xiàn)狀 目前，惡意代碼的技術(shù)發(fā)展更加迅速。以木馬為例，第四代木馬與以前的木 馬相比，在進(jìn)程隱藏方面做了很大的改動，它利用遠(yuǎn)程插入線程技術(shù)、嵌入D L L 線程或者掛接P S A P I 實(shí)現(xiàn)木馬程序的隱藏，達(dá)到了良好的隱藏效剁引。目前木馬 已經(jīng)發(fā)展到了第五代，R O O T K I T 是第五代木馬的典型代表，它通過更改內(nèi)核系 統(tǒng)結(jié)構(gòu)或者更改內(nèi)核執(zhí)行路徑來隱藏文件名、進(jìn)程名、端口號、注冊表信息等， 這給計(jì)算機(jī)安全技術(shù)的研究提出了新的課題。 這種嚴(yán)峻現(xiàn)實(shí)，促使許多安全軟件公司和研究人員致力于各種動態(tài)防護(hù)技術(shù) 的研究。目前，在國內(nèi)，主要有中科網(wǎng)威【3 J 、啟明星辰、清華紫光比威、三零盛 安、東軟軟件、中聯(lián)綠盟、復(fù)旦光華、上海金諾、瑞星、金山、聯(lián)想等安全屆知 名廠商有自己的I D S 產(chǎn)品。國內(nèi)的產(chǎn)品多數(shù)集中在低端、采用模式匹配的方法， 與國外相比還有一段差距。在W i n d o w s 操作系統(tǒng)下，利用更改系統(tǒng)函數(shù)執(zhí)行路 徑的內(nèi)核修補(bǔ)技術(shù)來對進(jìn)程進(jìn)行全面防護(hù)的學(xué)術(shù)文章和商業(yè)軟件比較少，比較有 名的軟件是有澳大利亞的D i a m o n dC o m p u t e rS y s t e m sP r y L t d 公司研制的P r o c e s s G u a r d l 4 I ，這樣的商業(yè)軟件國內(nèi)目前還沒有發(fā)現(xiàn)。 1 3 論文安排和研究結(jié)果 這一節(jié)簡要介紹一下論文的內(nèi)容安排和一些主要研究成果。 1 3 1 論文的安排 第二章：在對典型病毒剖析的基礎(chǔ)上，總結(jié)歸納了病毒和木馬的運(yùn)行機(jī)理。 第三章：根據(jù)P P D R 模型的動態(tài)防護(hù)思想，設(shè)計(jì)了一個基于行為的入侵防護(hù)體系 ( I n v a s i o nG u a r dB a s e dO nB e h a v i o r s ，簡稱I G B O B ) 模型，并分析了該 模型的結(jié)構(gòu)及工作原理。 第四章：在分析各種進(jìn)程攻擊行為基礎(chǔ)上研究了幾種內(nèi)核修補(bǔ)技術(shù)和方法。 第五章：研究了控制進(jìn)程創(chuàng)建、控制進(jìn)程終止、控制訪問物理內(nèi)存、控制安裝驅(qū) 動等的方法和實(shí)現(xiàn)技術(shù)。對如何防護(hù)I G B O B 自身安全提出了實(shí)現(xiàn)方法。 設(shè)計(jì)了一個映像加載規(guī)則庫，并說明其工作原理。 第六章：結(jié)束語。 2 天津大學(xué)碩一l ：學(xué)位論文第一章緒論 1 3 2 主要研究成果 以下是本文取得的一些成果： l 、深入剖析典型病毒、木馬的基礎(chǔ)上，總結(jié)了病毒、木馬的植入技術(shù) 和運(yùn)行機(jī)理，為建立防護(hù)模型提供了依據(jù)。 2 、 提出了一個完全符合P P D R 的基于行為的入侵防護(hù)系統(tǒng)模型，描述 了該模型的結(jié)構(gòu)以及在策略、檢測、響應(yīng)和保護(hù)四個環(huán)節(jié)的工作原理，并分析了 該模型的優(yōu)缺點(diǎn)。該模型可以有效阻止惡意代碼的傳播，并可保護(hù)系統(tǒng)進(jìn)程和可 信進(jìn)程不受其它進(jìn)程的攻擊。 3 、 對實(shí)現(xiàn)模型的關(guān)鍵技術(shù)進(jìn)行了詳細(xì)研究。在深入分析進(jìn)程的各種攻 擊行為的基礎(chǔ)上，通過采用內(nèi)核修補(bǔ)技術(shù)，實(shí)現(xiàn)了與操作系統(tǒng)的無縫連接，在內(nèi) 核態(tài)中完成了對進(jìn)程攻擊行為的攔截。 4 、入侵防護(hù)系統(tǒng)擔(dān)負(fù)著控制進(jìn)程創(chuàng)建和保護(hù)系統(tǒng)進(jìn)程和可信進(jìn)程不受 其它進(jìn)程攻擊的使命，因此，本文也對如何保證入侵防護(hù)系統(tǒng)自身的安全進(jìn)行了 研究。 3 天津大學(xué)碩士學(xué)位論文第二章計(jì)算機(jī)病毒和木馬概述 第二章計(jì)算機(jī)病毒和木馬概述 從第一個計(jì)算機(jī)病毒出現(xiàn)到現(xiàn)在，已經(jīng)有整整半個世紀(jì)了。病毒的發(fā)展日新 月異，令查殺的困難大大增加，造成的損失也越來越大。計(jì)算機(jī)病毒這個幽靈， 從計(jì)算機(jī)誕生的那一刻起就注定要如影相隨的。只要還有用心險惡的人存在，那 么病毒就不會消亡。病毒之戰(zhàn)，會在今后的日子里越演越烈 2 1 計(jì)算機(jī)病毒和木馬的定義 病毒1 9 9 4 年2 月1 8 日，我國正式頒布實(shí)施了中華人民共和國計(jì)算機(jī) 信息系統(tǒng)安全保護(hù)條例。在該條例的第二十八條中明確指出：“計(jì)算機(jī)病毒，是 指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使 用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼1 5 1 ?！?木馬來自“特洛伊木馬”，是指一種與遠(yuǎn)程計(jì)算機(jī)之間建立起連接，使 遠(yuǎn)程計(jì)算機(jī)能夠通過網(wǎng)絡(luò)控制本地計(jì)算機(jī)的惡意程序。它的運(yùn)行遵照T C P I P 協(xié) 議，由于它像間諜一樣潛入用戶的電腦，為其他人的攻擊打開后門，與戰(zhàn)爭中的 “木馬”戰(zhàn)術(shù)十分相似，因而得名木馬程序【6 1 。 蠕蟲蠕蟲是計(jì)算機(jī)病毒的一種，是指利用網(wǎng)絡(luò)缺陷進(jìn)行繁殖的病毒程 序，其原始特征之一是通過網(wǎng)絡(luò)協(xié)議漏洞進(jìn)行網(wǎng)絡(luò)傳播【刀。 腳本病毒利用腳本來進(jìn)行破壞的病毒，其特征為本身是一個A S C I I 碼 或加密的A S C I I 碼文本文件，由特定的腳本解釋器執(zhí)行。主要利用腳本解釋器的 檢查漏洞和用戶登錄身份的不當(dāng)對系統(tǒng)設(shè)置進(jìn)行惡意配置或惡意調(diào)用系統(tǒng)命令 造成危害。 但目前，由于病毒，木馬，蠕蟲，腳本病毒這四類程序在不斷雜交中衍生， 已經(jīng)形成了“你中有我，我中有你”的多態(tài)特性。它們將網(wǎng)絡(luò)蠕蟲、計(jì)算機(jī)病毒、 木馬程序合為一體，開創(chuàng)了網(wǎng)絡(luò)病毒傳播的新路【7 】。為了行文方便，以下將病 毒、木馬、蠕蟲、腳本病毒統(tǒng)稱為“病毒”，但其實(shí)這四類程序的感染機(jī)制和編 寫方式是完全不同的。 2 2 典型病毒剖析 病毒入侵計(jì)算機(jī)后，會想方設(shè)法獲取系統(tǒng)的運(yùn)行權(quán)，不然的話，病毒將失去 4 天津人學(xué)碩： = 學(xué)位論文第_ 章計(jì)算機(jī)病毒和木馬概述 活力，變成硬盤上的一個垃圾文件。下面，我們對幾個典型病毒進(jìn)行分析，看它 們是如何獲取系統(tǒng)的運(yùn)行權(quán)。 2 2 1 “紅色代碼病毒 “紅色代碼”病毒采用了一種叫做”緩存區(qū)溢出”的黑客技術(shù)，利用網(wǎng)絡(luò)上使 用微軟I I S 系統(tǒng)的服務(wù)器來進(jìn)行病毒的傳播。這個蠕蟲病毒使用服務(wù)器的8 0 端 口，而這個端E l 正是W e b 服務(wù)器與瀏覽器進(jìn)行信息交流的渠道【6 】?！凹t色代碼” 病毒能夠破壞W i n d o w s2 0 0 0 服務(wù)器安全體系，更改系統(tǒng)設(shè)置，修改W i n d o w s 文 件并放置特洛伊木馬程序，最終導(dǎo)致被感染的計(jì)算機(jī)系統(tǒng)后門大開。 “紅色代碼病毒入侵系統(tǒng)后，將C m d e x g 復(fù)制到C ：盤及D ：盤的目錄中， 其文件名為r o o t e x e ：i n e t p u b s c r i p t s p r o g r a mf i l e s c o m m o nf i l e s s y s t e m r n s a d c 然后，病毒開始掃描網(wǎng)絡(luò)，尋找其它可被攻擊的系統(tǒng)，這一過程在英文W i n d o w s 2 0 0 0 系統(tǒng)中將持續(xù)2 4 小時，而在運(yùn)行中文W i n d o w s2 0 0 0 系統(tǒng)中將持續(xù)4 8 小時。 接著，病毒程序在C ：盤和D ：盤的根目錄下生成一個大小為8 1 9 2 字節(jié)的 E x p l o r e r e x e 木馬程序，然后重啟系統(tǒng)，執(zhí)行木馬程序。 這個木馬程序首先運(yùn)行W i n d o w s 的E x p l o r e r e x e 程序，然后通過修改系統(tǒng)注 冊表的以下鍵值，使W i n d o w s 喪失對系統(tǒng)文件的保護(hù)能力： H l ( E YL O C A LM A C H I N E S O F T W A R E I M i c r o s o R W i n d o w sN T C u r r e n t V e r s i o n k W i n l o g o n S F C D i s a b l e = O x F F F F F F 9 D ，該鍵值的默認(rèn) 值為0 。 修改之后，木馬程序通過修改系統(tǒng)注冊表以下鍵值，創(chuàng)建兩個虛擬I I S 目錄 C 和D ，分別映射到系統(tǒng)的C ：盤和D ：盤。 H K E Y L O C A L J 似C N E S Y S T E M C u 丌e n t C o n t r o l S e t S e r v i c e s w 3 S V C P a r a m e t e r s k V i r t u a lR o o t s 這些虛擬目錄被賦予讀寫及執(zhí)行的權(quán)限，這樣木馬程序通過I I S 向所有黑客提供 了對被感染服務(wù)器C ：盤和D ：盤的完全控制能力。 蠕蟲將“e x p l o r e r e x e ”木馬放在“C ：”和“D ：”的根目錄下面，這是想利 用微軟安全公告M S 0 0 0 5 2 中所描述的漏洞，w i n d o w s 系統(tǒng)在執(zhí)行可執(zhí)行程序時， 會先搜索系統(tǒng)盤根目錄下面有沒有同名的程序，如果有，就先執(zhí)行該程序【8 】。因 此，如果攻擊者將“e x p l o e r e x e ”木馬放在系統(tǒng)盤根目錄下面，就可能先于真正 的“e x p l o e r e x e ”被執(zhí)行。當(dāng)屬于管理員組的用戶交互地登錄進(jìn)入系統(tǒng)時，木馬 將被執(zhí)行。如果您沒有安裝S P 2 或者M(jìn) S 0 0 0 5 2 中的補(bǔ)丁，您就可能執(zhí)行這個木 馬程序；否則，您不會執(zhí)行這個木馬。 天津大學(xué)碩 ：學(xué)位論文第- 章計(jì)算機(jī)病毒和木馬概述 2 2 2W i n 3 2 T r o j A D N a v i h e l p e r ( 廣告木馬) 該病毒屬于廣告木馬，一般會捆綁在正常軟件中。當(dāng)用戶運(yùn)行捆綁有該病毒 的文件時，會釋放出該文件。病毒通過瀏覽器幫助對象( B r o w s e r H e l pO b j e c t ，簡 稱B H O ) ，注入到I E 瀏覽器中，然后通過S Q L 查詢，強(qiáng)行打開指定網(wǎng)頁。這 樣，瀏覽器不時地打開廣告窗口，如：“女生宿舍”或“青澀寶貝”等，給用戶使 用瀏覽器帶來不便一J 。 “廣告木馬入侵系統(tǒng)后 l 、將自身存放在如下路徑中： s y s t e m U N a v i h e l p e r d l l 2 、添加如下注冊表鍵值 H K E YC U R R E N TU S E R L A p p l D 1 3 F A C A 6 2 - 5 F C 4 - 4 8 1 7 9 1 7 5 9 C 8 D 0 0 9 7 5 9 1 6 1 H K E Y C U R R E N TU S E R A p p l D k N a v i H e l p e r D L L H K E YU U R R E N T _ U S E R 小l a v i H e l p e r N a v i H e l p e r O b j 1 H K E Y C U R R E N T _ U S E R 小l a v i H e l p e r N a v i H e l p e r O b j H K E l Y ! j ：U R R E N T _ U S E R C L S I D 3 E 4 2 2 F 4 9 - 1 5 6 6 4 0 D 3 - B 4 3 D - 0 7 7 E F 7 3 9 A C 3 2 ) H K E 【O C A L _ M A C H I N E S O F T W A R E L M i c r o s o f t W i n d o w s C u r r e n t V e r s i o n E x p l o r e r k B r o w s e rH e l p e rO b j e c t s 3 E 4 2 2 F 4 9 15 6 6 - 4 0 D 3 B 4 3 D - 0 7 7 E F 7 3 9 A C 3 2 這些鍵值用于注冊B H O ，使得每次開啟I E 瀏覽器時都會加載該廣告程序。 3 、從網(wǎng)上下載 h t t p ：b a r 8 c o m h o s t d a t 到本地的s y s t e m h o s t d a t 4 、h o s t d a t 文件為S Q L 數(shù)據(jù)庫，包含了全部要顯示的網(wǎng)頁地址，包括以下網(wǎng)址： h t t p ：w w w q u 12 3 c o m a o y u1 h t m l h t t p ：b a b y a o e 8 8 c o m a d h t m i 2 2 3 沖擊波病毒 計(jì)算機(jī)被“沖擊波”病毒感染后，會產(chǎn)生下列現(xiàn)象：系統(tǒng)資源被大量占用， 有時會彈出R P C 服務(wù)終止的對話框，并且系統(tǒng)反復(fù)重啟，不能收發(fā)郵件，不能正 常復(fù)制文件，無法正常瀏覽網(wǎng)頁，D N S 和I I S 服務(wù)遭到非法拒絕等。下面是彈出 R P C 服務(wù)終止的對話框的現(xiàn)象： “沖擊波”入侵系統(tǒng)后： 1 、將自身復(fù)制到w i n d o w 目錄下，并命名為m s b l a s t e x e 。 2 、病毒運(yùn)行時會在系統(tǒng)中建立一個名為“B I L L Y ”的互斥量， 內(nèi)存中只有一份病毒體，避免被用戶發(fā)現(xiàn)。 3 、病毒運(yùn)行時會在內(nèi)存中創(chuàng)建一個名為m s b l a s t e x e 的進(jìn)程， 6 目的是保證在 該進(jìn)程就是活 天津大學(xué)碩上學(xué)位論文第二章計(jì)算機(jī)病毒和木馬概述 的病毒體。 4 、病毒會修改注冊表，在 H K E Y L O C A L M A C H I N E S O F T W A R E I V l i c r o s o f t W i n d o w s C u r r e n t V e r s i o n W , u n 下添加以下鍵值：”w i n d o w sa u t ou p d a t e ”= ”m s b l a s t e x e ”，以便每次系統(tǒng)啟動時， 病毒都會運(yùn)行。 5 、病毒每2 0 秒檢測一次網(wǎng)絡(luò)狀態(tài)，當(dāng)網(wǎng)絡(luò)可用時，病毒會在本地的U D P 6 9 端口上建立一個t r i p 服務(wù)器，并啟動一個攻擊傳播線程，不斷地隨機(jī)生成攻擊地 址進(jìn)行攻擊，另外該病毒攻擊時，會首先搜索子網(wǎng)的l P 地址，以便就近攻擊。 6 、當(dāng)病毒掃描到計(jì)算機(jī)后，就會向目標(biāo)計(jì)算機(jī)的T C P 1 3 5 端口發(fā)送攻擊數(shù) 據(jù)。 7 、當(dāng)病毒攻擊成功后，便打開目標(biāo)計(jì)算機(jī)的T C P 4 4 4 4 端口作為后門，并綁 定c m d e x e ，然后蠕蟲會連接到這個端口，發(fā)送t 邱命令，回連到發(fā)起進(jìn)攻的主 機(jī)，將m s b l a s t e x e 傳到目標(biāo)計(jì)算機(jī)上并運(yùn)行。 2 2 4H e 4 H o o k W i n d o w sr o o t k i t 就是W i n d o w s 系統(tǒng)中的r o o t k i t ，是一種程序或程序集，其 用途是秘密控制被入侵的計(jì)算機(jī)的行為l l 。它經(jīng)常用來隱藏一個后門程序以及其 它類似工具程序，使這些工具程序能在指定計(jì)算機(jī)中非法存在。當(dāng)用戶查詢計(jì)算 機(jī)的當(dāng)前狀況時，它通過隱藏和這些工具相關(guān)的所有信息來欺騙用戶，使用戶相 信計(jì)算機(jī)未受到侵害。按照運(yùn)行時的環(huán)境不同，W i n d o w sr o o t k i t 分為兩類：內(nèi)核 模式r o o t k i t 和用戶模式r o o t k i t 。內(nèi)核模式r o o t k i t 駐留在內(nèi)核態(tài)中，以內(nèi)核驅(qū)動 程序的方式存在于操作系統(tǒng)中；用戶模式r o o t k i t 則運(yùn)行在權(quán)限較低的用戶態(tài)中。 H e 4 H o o k 是一個內(nèi)核模式W i n d o w sr o o t k i t ，可運(yùn)行于W i n d o w sN T 4 0 、 W i n d o w s 2 0 0 0 中。在w w w r o o t k i t c o m 網(wǎng)站中，有它的完整源代碼。H e 4 H o o k 在技術(shù) 上很先進(jìn)，而且也比較穩(wěn)定。它的執(zhí)行文件主要包括兩個，H e 4 H o o k l n v s y s 和 H e 4 H o o k C o n t r 0 1 e x e 。其中，H e 4 H o o k l n v s y s 是內(nèi)核模式驅(qū)動程序， H e 4 H o o k C o n t r 0 1 e x e 是用于和H e 4 H o o k l n v s y s 進(jìn)行通信的控制臺程序。它的主要 特點(diǎn)是使用S y s t e m L o a d A n d C a l l l m a g e 技術(shù)而不是使用服務(wù)控制管理器( S C M ) 來 裝載驅(qū)動H e 4 H o o k l n v s y s ，并提供了兩種文件系統(tǒng)掛鉤方法，一種使用常規(guī)的掛 鉤系統(tǒng)服務(wù)地址表技術(shù)，另一種則使用很少見的掛鉤文件系統(tǒng)驅(qū)動程序的技術(shù)， 它可以隱藏或保護(hù)某些目錄，受保護(hù)的目錄在應(yīng)用程序中無法訪問。 2 2 5 冰河木馬 冰河由兩個程序組成：G _ s e r v e r e x e ( 服務(wù)端程序，即木馬) 和G c l i e n t e x e ( 控 7 天津火學(xué)碩士學(xué)位論文第_ 章計(jì)算機(jī)病毒和木馬概述 制端程序) ，它的特性有： 1 ) 自動跟蹤目標(biāo)機(jī)屏幕變化，同時可以完全模擬鍵盤及鼠標(biāo)輸入。 2 ) 記錄各種口令信息，包括開機(jī)口令、屏保口令、各種共享資源口令 及絕大多數(shù)在對話框中出現(xiàn)過的口令信息，記錄擊鍵輸入。 3 ) 獲取系統(tǒng)信息，包括計(jì)算機(jī)名、注冊公司、當(dāng)前用戶、系統(tǒng)路徑、 操作系統(tǒng)版本、當(dāng)前顯示分辨率、物理及邏輯磁盤信息等多項(xiàng)系統(tǒng)數(shù)據(jù)。 4 ) 限制系統(tǒng)功能，包括遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程重啟計(jì)算機(jī)、鎖定鼠標(biāo)、鎖定 系統(tǒng)熱鍵及鎖定注冊表等多項(xiàng)功能限制。 5 ) 遠(yuǎn)程文件操作，包括創(chuàng)建、上傳、下載、復(fù)制、刪除文件或目錄、 文件壓縮、快速瀏覽文本文件、遠(yuǎn)程打開文件等多項(xiàng)文件操作功能。 6 ) 注冊表操作，包括對主鍵的瀏覽、增刪、復(fù)制、重命名和對鍵值的 讀寫等所有注冊表操作功能。 7 ) 發(fā)送信息，以四種常用圖標(biāo)向被控端發(fā)送簡短信息。 8 ) 點(diǎn)對點(diǎn)通訊，以聊天室形式同被控端進(jìn)行在線交談。 9 ) 郵件功能，自動往設(shè)定的電子郵箱發(fā)送系統(tǒng)信息。 2 3 病毒的加載運(yùn)行技術(shù) 通過對典型病毒的分析，可以看出，病毒想盡各種方法使自己能夠得到加載 運(yùn)行，在W i n d o w sN T 2 X X P 中，病毒的加載運(yùn)行大體可分為下面六種： 1 利用系統(tǒng)初始化文件實(shí)現(xiàn)病毒的自動啟動 例如w i n i n i 是保存在系統(tǒng)目錄( s y s t e m ) 下的一個初始化文件。系統(tǒng)在啟 動時會檢索該文件中的相關(guān)項(xiàng)，以便對系統(tǒng)環(huán)境進(jìn)行初始設(shè)置。 一 在該文件中的 w i n d o w s 數(shù)據(jù)段中，有兩個數(shù)據(jù)項(xiàng)“l(fā) o a d = ”和“l(fā) - u n = ”，它們 的作用就是在系統(tǒng)啟動之后自動地裝載和運(yùn)行相關(guān)程序，如果我們需要在系統(tǒng)啟 動之后裝載并運(yùn)行一個程序，只要將該程序的全文件名添加到該數(shù)據(jù)項(xiàng)的后面， 系統(tǒng)啟動后就會自動運(yùn)行該程序。 2 利用注冊表實(shí)現(xiàn)病毒的自動啟動 系統(tǒng)注冊表保存著系統(tǒng)的軟件、硬件及其它與系統(tǒng)配置有關(guān)的重要信息，一 臺計(jì)算機(jī)系統(tǒng)的注冊表一旦遭到破壞，整個系統(tǒng)將無法運(yùn)行。大多數(shù)病毒通過修 改注冊表來達(dá)到自動加載的目的【1 1J 。例如，“沖擊波”、“求職信”、“愛蟲”等。 R u n 注冊鍵 R u n 是自動運(yùn)行程序最常用的注冊鍵，位置在： H K E YC U RRE N TU S E R S o t t w a r e k M i c r o s o f t W i n d o w s C u r r e n t V e r S i o n 恨a n 8 天津大學(xué)碩l j 學(xué)位論文第_ 二章計(jì)算機(jī)病毒和木馬概述 H K E Y L O C A L M A C H I N E S O F T W A R E M i c r o s o f t W i n d o w s C u r r e n t V e r s i o n R u n R u n O n c e 注冊鍵 安裝程序通常用R u n O n c e 鍵自動運(yùn)行程序，它的位置在 H K E Y L O C A L M A C H I N E S O F T W A R E k M i c r o s o f t W i n d o w s C u r r e n t V e r s i o n R u n O n e e H K E Y C U R R E N 弋yS E R S o f t w a r e k M i c r o s o f t W i n d o w s C u r r e n t V e r s i o n R u n O n C e H K E Y L O C A L M A C H I N E S O F T W A R E M i c r o s o 徘W i n d o w S C u r r e n t V e r s i o n 、R u n O n c e E x R u n S e r v i c e s O n c e 注冊鍵 R u n S e r v i c e s O n c e 注冊鍵用來啟動服務(wù)程序，啟動時間在用戶登錄之前，而 且先于其他通過注冊鍵啟動的程序。R u n S e r v i c e s O n c e 注冊鍵的位置在： H K E Y C U R R E N AN S E R S o f l w a r e l V l i c r o s o f t W i n d o w s C u r r e n t V e r s i o n k R u n S e r v i c e s O n c e H K E Y L O C A L M A C H 刷E S O F T W A 酬i c r o s o 烈W i n d o w s C u r r e n t V e r s i o n l R u n S e r v i c e s O n c e 。 R u n S e r v i c e s 注冊鍵 R u n S e r v i c e s 注冊鍵指定的程序緊接R u n S e r v i c e s O n c e 指定的程序之后運(yùn)行， 但兩者都在用戶登錄之前。R u n S e r v i c e s 的位置在： H K E Y C U R R E N yS E R S o f t w a r e k M i c r o s o f t W i n d o w s C u r r e n t V e r s i o n k R u n S e r v i c e s H K E Y L O C A L M A C H I N E S O F T W A R E k M i c r o s o f t W i n d o w s C u r r e n t V e r s i o n k R u n S e r v i c e s U s e r i n i t 鍵值，位置在： H K E Y L O C A L M A C H I N E S o 脅a r e T i c r o s o 玳W i n d o w s N l 、C u n e n t V e r s i o n W i n l o g o n 存放在U s e r i n i t 鍵值中的數(shù)據(jù)，也能夠在系統(tǒng)啟動時自動運(yùn)行。通常該鍵值 的數(shù)據(jù)為u s e r i n i t e x g ，但這個鍵值中存放的數(shù)據(jù)允許指定用逗號分隔的多個程序 名，例如u s e r i n i t e x e 。O S A e x e 。 S e r v i c e s 注冊鍵 位置在：H K E Y _ L O C A L _ M A C H I N E S y s t e m C u r r e n tC o n t r o lS e t S e r v i c e s ， 系統(tǒng)啟動后將自動加載該子鍵下的一些服務(wù)或驅(qū)動程序，這些服務(wù)或驅(qū)動程序的 啟動類型均為自動。 3 利用啟動文件夾實(shí)現(xiàn)病毒的自動啟動 9 天津人學(xué)碩：1 = 。學(xué)位論文第_ 章計(jì)算機(jī)病毒和木馬概述 在W i n d o w s 系統(tǒng)中，放入啟動文件央中的快捷方式總是自動啟動。 當(dāng)前用戶專有的啟動文件夾 這是許多應(yīng)用軟件自動啟動的常用位置，W i n d o w s 自動啟動放入該文件夾中 的所有快捷方式。用戶啟動文件夾一般在：X A D o c u m e n t sa n dS e t t i n g s 開始J 菜單程序啟動，其中“ ”是當(dāng)前登錄的用戶帳戶名稱。 對所有用戶有效的啟動文件夾 這是尋找自動啟動程序的第二個重要位置，不管用戶用什么身份登錄系統(tǒng)， 放入該文件夾的快捷方式也總是自動啟動該文件夾一般在： X ：k D o c u m e n t sa n dS e t t i n g s L M lU s e r s 開始J 菜單程序啟動。 注：X 表示系統(tǒng)盤的盤符。 4 修改文件關(guān)聯(lián)實(shí)現(xiàn)病毒的加載運(yùn)行 通常，對于一些常用的文件( 例如，t x t 文件) ，我們只要用鼠標(biāo)雙擊文件名 就可以打開這個文件。這是因?yàn)樵谙到y(tǒng)注冊表中，已經(jīng)把這類文件與一個應(yīng)用程 序關(guān)聯(lián)了起來( 例如，n o t e p a d e x e 與t x t 文件關(guān)聯(lián)) 。有些病毒通過修改文件關(guān)聯(lián) 來達(dá)到加載的目的，例如冰河木馬就是利用文本文件( t x t ) 的文件關(guān)聯(lián)來加載自 己。如果感染了冰河木馬，貝, U H K E Y C L A S S E SR O O T t x t f i l e s h e l l o p e n c o m m a n d 中的鍵值不是“S y s t e m R o o t k s y s t e m 3 2 h N O T E P A D E X E l ”，而是改為 “s y s e x p l r e x e ” 1 2 】。 5 利用系統(tǒng)漏洞實(shí)現(xiàn)病毒的加載運(yùn)行 如果您的系統(tǒng)沒有及時打上補(bǔ)丁的話，病毒就可以利用某些系統(tǒng)漏洞來加載 運(yùn)行。例如微軟安全公告M S 0 0 0 5 2 中描述了這樣一個系統(tǒng)漏洞：w i n d o w s 系統(tǒng) 在執(zhí)行可執(zhí)行程序時，會先搜索系統(tǒng)盤根目錄下面有沒有同名的程序，如果有， 就先執(zhí)行該程序【引?！凹t色代碼”病毒就是利用了上述這個漏洞，它把 “e x p l o r e r e x e ”木馬放在“C ：“ 和“D ：”的根目錄下面，這樣木馬就先于真正 的“e x p l o r e r e x e ”被執(zhí)行。如果沒有安裝S P 2 或者M(jìn) S 0 0 0 5 2 中的補(bǔ)丁，就可能 執(zhí)行這個木馬程序；否則，不會執(zhí)行這個木馬。 6 利用其它進(jìn)程來實(shí)現(xiàn)病毒的加載運(yùn)行 這種病毒一般都是無進(jìn)程D L L 木馬，它們以動態(tài)連接庫的形式存在于系統(tǒng) 中，并且會利用注冊表來啟動自己。例如，在注冊表： H K E O C A L _ M A C H I N E S o f t w a r e h M i c r o s o f t W i n d o w s N T C u r r e n t V e r s i o n W i n d o w s 的鍵值A(chǔ) p p l n i tD L L S 中，可以存放一個或多個D L L 的名字，根據(jù)M S D N 文檔，當(dāng)一個使用U S E R 3 2 D L L 的應(yīng)用程序被啟動時，鍵 值A(chǔ) p p l n i tD L L S 中指明的D L L 也被自動加載l l3 1 。在上一節(jié)中被剖析的 W i n 3 2 T r o j A D N a v i h e l p e r ，這個廣告就是一個無進(jìn)程D L L 木馬，它被注冊成 1 0 天津人學(xué)碩f j 學(xué)位論文 第- 章計(jì)算機(jī)病毒和木馬概述 B H O ，使得每次開啟l E 瀏覽器時都會加載該廣告木馬。 從病毒加載運(yùn)行的方法可以看出，如果我們對注冊表的某些重要子鍵、鍵值 進(jìn)行實(shí)時監(jiān)控，那么可以防止病毒以服務(wù)驅(qū)動程序的形式安裝到系統(tǒng)中，可以 防止D L L 木馬注射到可信進(jìn)程的地址空間中，也可以防止病毒修改文件關(guān)聯(lián)等 等，從而切斷病毒的感染途徑；如果程序的運(yùn)行必須要得到用戶認(rèn)可的話，那么 可以剝奪病毒的運(yùn)行權(quán)利。 病毒的植入和對系統(tǒng)的攻擊，離不開進(jìn)程這個載體，因此如果我們控制住進(jìn) 程的行為就可以阻止病毒的入侵：首先程序的運(yùn)行必須要得到用戶的認(rèn)可，其次 根據(jù)訪問控制規(guī)則來判斷進(jìn)程的當(dāng)前行為是否合法，如果非法，及時阻止進(jìn)程的 當(dāng)前行為。這就是入侵防護(hù)所要實(shí)現(xiàn)的目標(biāo)。 2 4 本章小結(jié) 本章首先介紹了病毒、木馬、蠕蟲的定義，然后對幾個典型的病毒如“紅色 代碼”病毒、“冰河”木馬等進(jìn)行了詳細(xì)的剖析，歸納總結(jié)了病毒、木馬的植入 技術(shù)和運(yùn)行機(jī)理。病毒的植入和對系統(tǒng)的攻擊，離不開進(jìn)程這個載體，因此我們 提出了通過進(jìn)程防護(hù)來阻止病毒入侵的思想。 天津人學(xué)碩上學(xué)位論文第三章基于行為的入侵防護(hù)體系模犁 第三章基于行為的入侵防護(hù)體系模型 3 1P P D R 安全理論模型 1 9 8 5 年，美國國防部的國家計(jì)算機(jī)安全中心( N C S C ) 發(fā)布了可信計(jì)算機(jī)安 全評估準(zhǔn)則( T C S E C ) 。這個準(zhǔn)則的發(fā)布對操作系統(tǒng)、數(shù)據(jù)庫等方面的安全發(fā)展 起到了很大的推動作用，被稱為信息安全的里程碑1 6 】。 但是，T C S E C 是基于主機(jī)終端環(huán)境的靜態(tài)安全模型建立起來的標(biāo)準(zhǔn)，是 在當(dāng)時的網(wǎng)絡(luò)發(fā)展水平下被提出來的。隨著網(wǎng)絡(luò)的深入發(fā)展，這個標(biāo)準(zhǔn)已經(jīng)不 能完全適應(yīng)當(dāng)前的技術(shù)需要，無法反映分布式、動態(tài)變化、發(fā)展迅速的I n t e m e t 安全問題。針對日益嚴(yán)重的網(wǎng)絡(luò)安全問題和越來越突出的安全需求，“動態(tài)安全 模型”應(yīng)運(yùn)而生。 傳統(tǒng)的信息安全技術(shù)都集中在系統(tǒng)自身的加固和防護(hù)上。比如，采用B 級 操作系統(tǒng)和數(shù)據(jù)庫，在網(wǎng)絡(luò)出口配置防火墻，在信息傳輸和存儲方面采用加密 技術(shù)，使用集中的身份認(rèn)證產(chǎn)品等等。單純的防護(hù)技術(shù)容易導(dǎo)致系統(tǒng)的盲目建 設(shè)，這種盲目包括兩方面：一方面是不了解安全威脅的嚴(yán)峻性，不了解當(dāng)前的 安全現(xiàn)狀；另一方面是安全投入過大而又沒有真正抓住安全的關(guān)鍵環(huán)節(jié)，導(dǎo)致 不必要的浪費(fèi)。所以，現(xiàn)在安全領(lǐng)域強(qiáng)調(diào)安全防護(hù)的體系建設(shè)，強(qiáng)調(diào)全面的解 決方案，強(qiáng)調(diào)水桶原理和基于時間的動態(tài)的安全防護(hù)理論l l4 。 P P D R 模型 舉例來看，一個水庫的大壩到底應(yīng)當(dāng)修多高? 大壩有沒有漏洞? 修好的大壩 現(xiàn)在是否處在危險的狀態(tài)? 實(shí)際上，我們需要相應(yīng)的檢測機(jī)制，比如，利用工程 探傷技術(shù)檢查大壩修建和維護(hù)是否保證了大壩的安全；觀察當(dāng)前的水位是否超出 了警戒水位。這樣的檢測機(jī)制對保證大壩的安全至關(guān)重要。 當(dāng)發(fā)現(xiàn)問題之后就需要迅速做響應(yīng)，比如，立即修補(bǔ)大壩的漏洞并進(jìn)行加固； 如果到達(dá)警戒水位，大壩就需要有人2 4 小時監(jiān)護(hù)，還可能需要泄洪。這些措施 實(shí)際上就是一些緊急應(yīng)對和響應(yīng)措施。 在信息安全領(lǐng)域，對安全問題的理解也是類似的。相應(yīng)提出的就是P P D R 模 型( 見圖3 1 ) 。P P D R 動態(tài)安全模型的產(chǎn)生是與2 0 世紀(jì)9 0 年代中期開始的 防黑客技術(shù)共同起步的在這方面最突出的就是I S S ( I n t e m e tS e c u r i t yS y s t e m s ) 公司以及其創(chuàng)始人C h r i s t o p h e rK l a u s e 先生。P P D R 模型是動態(tài)安全模型( 可適應(yīng)網(wǎng) 絡(luò)安全模型) 的代表性模型。 天津人學(xué)碩士學(xué)位論文 第三章基于行為的入侵防護(hù)體系模犁 圖3 1P P D R 安全理論模型 P o l i c y ( 安全策略) P r o t e c t i o n ( 防護(hù)) D e t e c t i o n ( 檢測) R e s p o n s e ( 響應(yīng)) P P D R 模型由防護(hù)、檢測和響應(yīng)組成了一個完整的、動態(tài)的安全循環(huán)，在安 全策略的指導(dǎo)下保證信息系統(tǒng)的安全，P P D R 安全模型的特點(diǎn)就是動態(tài)性和基于 時間的特性1 1 5 J 。 P P D R 模型闡述了這樣一個結(jié)論