（计算机应用技术专业论文）单机防御系统的分析与设计.pdf

摘要 摘要 单机防御系统作为固守网络终端的最后防线，对于广大家庭用户和小型网 络用户来说，无论是在效果和管理上，还是实用价值上都具有很大的意义。它 通过有效阻止来自软盘、光盘、共享文件和互联网的病毒入侵，达到保护单台 计算机的目的。 论文的主要工作可以归纳为以下几个方面： ( 1 ) 通过对应用程序的特征行为的判断来监测恶意软件。单机防御系统通 过监控计算机系统的绝大部分重要资源，在应用程序访问系统资源的时候进行 有效性判断，并通过有效地中止恶意软件的执行，从而达到防范恶意软件攻击 的目的。测试结果表明该系统能够预防恶意软件的攻击，但也会轻微影响应用 程序的性能。 ( 2 ) 提出通过跟踪系统资源访问路径的方式来识别未知恶意软件的方法。 在应用程序、系统调用和系统资源三者间建立信任路径，并通过自学习功能， 根据应用程序的行为、用户的参与以及其他应用程序对该路径的访问统计数据， 维护访问路径的信任度和访问途径的合法性。该模块对应用程序的性能影响比 较小。测试结果表明这种方法能有效防御当前已知攻击技术制作的新型恶意软 件。 最后，对进一步工作的方向进行简要的讨论。 关键词：单机防御系统恶意软件特征行为可信任访问路径自学习 a b s t r a c t a b s t r a c t t e r m i n a lp r o t e c t i o ns y s t e mi st h el a s tl i n eo fs e c u r i t yd e f e n s e i nt e r m so f e f f e c t i v e n e s s ，m a n a g e m e n t ，a n dp r a c t i c e ，t h e r ei ss i g n i f i c a n tv a l u et ob o t hs i n g l e h o u s e h o l d sa n ds m a l ln e t w o r ku s e r s t h r o u g he f f e c t i v es t o p p i n gc o m p u t e rv i r u s e s f r o mf l o p p yd i s k s ，c d - r o m s ，s h a r e dd o c u m e n t sa n dt h ei n t e r n e tt oa t t a c kc o m p u t e r s ， i tc a na c h i e v et h ep u r p o s et op r o t e c tc o m p u t e r s i nt h i sp a p e r , t h em a i na c h i e v e m e n t sc a i lb es u m m a r i z e da sf o l l o w s ： ( 1 ) d e t e c t i n gm a l i c i o u ss o t t w a r eb ym o n i t o r i n gt h ec h a r a c t e r i s t i cb e h a v i o r s b y m o n i t o r i n gt h ea c c e s st ot h em o s ti m p o r t a n tc o m p u t e rs y s t e mr e s o u r c e sa n dj u d g i n g t h ev a l i d i t yo fa c c e s s ，t h i ss y s t e mc a ne f f e c t i v e l ys u s p e n dt h em a l i c i o u sa c t i o na n d a c h i e v et h ep u r p o s eo fd e f e n d i n gt h em a l i c i o u ss o f t w a r e t e s tr e s u l t ss h o wt h a tt h e s y s t e mc a nd e f e n s ea g a i n s tm a l i c i o u ss o l , w a r e , b u ti t w i l la l s os l i g h t l ya f f e c tt h e p e r f o r m a n c eo fa p p l i c a t i o n s ( 2 ) r e c o g n i t i o nu n k n o w nm a l i c i o u ss o f t w a r eb yt r a c k i n gr e l i a b l ea c c e s sp a t ho f s y s t e mr e s o u r c e s t h es y s t e m e s t a b l i s h e sar e l i a b l ea c c e s s p a t ha m o n gt h e a p p l i c a t i o n s ，t h es y s t e mc a l l sa n ds y s t e mr e s o u r c e s a c c o r d i n gt ob e h a v i o r so ft h e a p p l i c a t i o n s ，t h ej u d g m e n t sb yt h eu s e r , a n dt h es t a t i s t i c a ld a t ao fo t h e ra p p l i c a t i o n st o a c c e s st h ep a t hb ya u t o m a t i s ml e a r n i n g ，i tc a nm a i n t a i nt h er e l i a b i l i t yo fa c c e s sp a t h s f u r t h 6 t t h i sm o d u l ew i l ls l i g h t l ya f f e c tt h ep e r f o r m a n c eo fa p p l i c a t i o n s t e s tr e s u l t s s h o wt h a tt h i sm e t h o dc a ne f f e c t i v e l yp r e v e n tt h o s ea t t a c k sf r o mn e wm a l i c i o u s s o f t w a r ep r o d u c e db yk n o w nt e c h n o l o g y f i n a l l gf u r t h e rw o r k so i lt h i sd i r e c t i o na l ed i s c u s s e d k e yw o r d s ：t e r m i n a lp r o t e c t i o ns y s t e m ；m a l i c i o u ss o f t w a r e ；c h a r a c t e r i s t i cb e h a v i o r , r e l i a b l ea c c e s sp a t h ；a u t o m a t i s ml e a m i n g 学位论文版权使用授权书 本人完全了解北京机械工业学院关于收集、保存、使用学位论文 的规定，同意如下各项内容：按照学校要求提交学位论文的印刷本和 电子版本；学校有权保存学位论文的印刷本和电子版，并采用影印、 缩印、扫描、数字化或其它手段保存论文；学校有权提供目录检索以 及提供本学位论文全文或者部分的阅览服务；学校有权按有关规定向 国家有关部门或者机构送交论文的复印件和电子版；在不以赢利为目 的的前提下，学校可以适当复制论文的部分或全部内容用于学术活 动。 学位论文作者签名： 数螽 2 伽8 年1 月 乒日 经指导教师同意，本学位论文属于保密，在年解密后适用 本授权书。 指导教师签名：学位论文作者签名： 年月 日年月 e 1 硕士学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，进行 研究工作所取得的成果。除文中已经注明引用的内容外，本学位论文 的研究成果不包含任何他人创作的、已公开发表或者没有公开发表的 作品的内容。对本论文所涉及的研究工作做出贡献的其他个人和集 体，均已在文中以明确方式标明。本学位论文原创性声明的法律责任 由本人承担。 签名：狱蔼 ) 叩g 年f 月) 垆日 第1 章引言 第1 章引言 1 1 课题研究的目的与意义 根据公安部2 0 0 6 年度我国信息网络安全状况和计算机病毒疫情调查结果， 在2 0 0 5 年5 月至2 0 0 6 年5 月间，7 4 的被调查单位感染了计算机病毒或者木马 等恶意程序，多次感染计算机病毒的用户数量为5 2 。网络浏览、下载是病毒 传播的最主要途径。目前，以盗取用户账号、密码的“间谍软件 和木马明显 增多，计算机病毒本土化制作的趋势更加明显，利用计算机病毒非法牟利的情 况非常突出【l 】。 目前互联网上的安全问题，大约有3 0 左右的问题都是间谍软件引发的， 间谍软件已经取代了传统的病毒，成为未来安全威胁的主流。市场调查公司i d c 预测，反间谍软件的销售额将从2 0 0 6 年的1 2 0 0 万美元跃升至2 0 0 8 年的3 亿5 0 0 万美元。i d c 还估计，世界上约2 3 的电脑中有着某种形式的间谍软件。但是目 前国内针对间谍软件的定义还很混乱，相关研究还非常少 2 1 。 为此，我们提出“单机防御系统”的研究课题，对间谍软件的现状作具体 的分析，并设计出具体的防护方案。 1 2 国内外研究现状 网络日渐成为家庭、企业、政府、机关等单位之间信息交流的重要平台， 网络内外的连接应用越来越多，网络的优越性也日渐被广大人民群众所接受。 但一些单位信息安全事件处置方法和手段比较单一，防范措施不完善，网络安 全管理入员缺乏、专业素质有待提高，被调查单位信息安全管理水平整体上仍 滞后于信息化发展要求。 1 2 1 间谍软件分析 间谍软件就像电脑病毒一样大行其道除了将你的工作搅得乱七八糟 外，还会追踪你的一举一动，在你的眼皮子底下收集数据，甚至将敏感的公司 信息发送到公司之外。根据有关部门的调查，当前网络安全产品中防火墙和计 算机病毒防治产品使用率最高，分别达到8 1 和7 9 1 3 1 。但是反问谍和反病毒是 第1 章引言 有所不同的两个领域，病毒在法律上有明确的规定，之后的症状和其他一些表 现、技术方面的诊断也是比较明确的，但是间谍软件通常是以商业行为为前提 的。在信息安全公司的诊断过程中，由于大部分有害程序都是商用或免费提供 的正常程序，如果商用程序因具有一定有害功能被杀毒软件诊断时，可能导致 其制作公司因妨碍营业的理由跟杀毒软件厂商提起法律诉讼，所以信息安全公 司拦截间谍软件时比较困难，在诊断一个软件是否是间谍软件时间比较长，而 且要经过很严格的审批之后才能断定它是间谍软件。 间谍软件具体会给客户造成的危害如下： 1 侵害用户的隐私权。一些间谍软件专门收集个人行动记录，造成个人信 息泄漏，严重侵害了用户的隐私权。甚至一些危害性非常强的间谍软件是以金 融欺诈为目的，如“网银大盗”等，在客户进行特定的网上支付时，启动监控程序， 窃取客户的金融账号及密码，达到窃取客户资产的目的。有些间谍软件还可能 通过监控键盘输入的方式，得到客户的用户名、密码等信息，完成对客户系统 的控制，并窃取客户系统中有用的数据，以达到获得利益的目的。 2 对企业系统的非法侵入。间谍软件通过技术手段，绕过企业中的防火墙 及反病毒软件，完成对企业内部网的入侵，轻松得到企业中重要的信息，达到 打击对手并进行盈利的目的。 3 使客户的系统不能正常的工作。当客户在安装完间谍软件后，间谍软件 会影响客户对系统的正常使用，用户会误认为被恶性代码所感染，造成用户心 理不安。用户难以分清楚恶性代码和间谍软件。如一些间谍软件，固定首页， 造成用户不便( 用户难以恢复) 。也有的间谍软件在客户浏览网站时，自动弹出 特定的广告宣传页，使客户的正常浏览造成麻烦。甚至一些不良网页会给未成 年人造成伤害，被客户深恶痛绝。还有一些间谍软件在用户访问特定页面的时 候，转向连接到其他网站，使用户使用因特网受到约束。 4 造成系统资源的浪费。当客户安装了许多的间谍软件时，这些间谍软件 会占用系统的资源，对正常的应用造成影响，使网络连接及系统性能低下。据 检测，间谍软件会占用上网带宽的8 ，还会占用许多的c p u 及内存资源【l 】，使系 统的性能降低。 5 造成信息的安全性降低。间谍软件都是进行隐藏的，客户无法察觉，而 客户对间谍软件不是非常了解，即使感染了间谍软件也会不知情，不像病毒程 序有非常明显的特征。通常客户认为只要安装了杀毒软件及个人防火墙就可以 2 第1 章引言 放心的使用电脑，这是错误的。通常信息被窃取比信息被损害危害更大，间谍 软件就是企业信息及个人信息的窃取者。损失有时是不可估量的。 6 引起系统的不稳定。因为现在的间谍软件非常多，设计水平参差不齐， 大都没有经过兼容性测试，而且它们为了达到进行隐藏、防止客户把它进行删 除的目的，大都使用了一些特殊的技术，如修改注册表，使用钩子( h o o k ) 州和 远程线程函数( c r e a t e r e m o t e t h r e a d ) 来进行植入嘲。这些技术非常隐蔽，难于被监 视到。这样，间谍软件和系统之间，间谍软件和间谍软件之间都会发生意想不 到的冲突，而这些冲突会使系统速度减慢、应用程序不能正常运行，甚至死机、 自动重新启动等现象，严重影响客户正常使用系统，给企业用户及个人用户造 成时间及资产的严重浪费。 国内针对间谍软件的定义还不明确，相关研究还很少。中国互联网协会对 间谍软件的定义如下：间谍软件是指在未明确提示用户或未经用户许可的情况 下，在用户计算机或其他终端上安装运行，侵害用户合法权益的软件，但不包 含我国法律法规规定的计算机病毒。 而在国外，有人提出间谍软件主要有下面几种表现形式【6 】，但只考虑其功能 时可以认为是代码的部分功能，所以也没有确定的定义。 1 ) 远程控制形式。远程控制形式起初是控制远程管理计算机的正常程序， 但后来被恶意用在远程控制特定计算机并在用户不知的情况下任意操作。 2 ) 键盘记录( k e y l o g g e r ) 形式。最初开发键盘记录的目的是用在监视系统上， 但最近被恶意用于记录用户输入的特定信息并传送给特定用户盗取用户密码。 最近网上银行事件和泄露个人信息事件成为最关注的焦点。这些安全隐患对用 户来说，直接造成经济损失。 3 ) 传送文件形式。传送文件形式一般是上传和下载文件的正常程序。如今， 出现了利用此功能设置特定计算机为服务器( w a r e z ) 或者在用户不知的情况下传 送特定文件，导致向外部泄漏个人信息。 4 ) 系统辅助工具形式。系统辅助工具是为了系统管理者易于管理系统而开 发的正常程序，但如今被恶意用作扫描系统漏洞或强制结束运行中包括杀毒软 件在内的特定进程。 间谍软件的防范技术和恶意软件( 分为病毒和木马两大系列) 防范技术、黑客 入侵防范技术有很大的重合空间，这些领域目前研究比较深入，可以作为间谍 第1 章引言 软件的防范方案和技术实现上的参考。 1 2 2 病毒防御 一、病毒的类型用： 1 ) 引导扇区型病毒： 感染系统区域的可执行代码，主要影响软盘上的d o s 引导扇区和硬盘上的 主引导扇区。一旦被加载进系统，启动时病毒会将自己加载在内存中，并很难 清除。然后就开始感染其他被执行的文件，唯一办法就是关闭电脑。影响很大 的一类是蠕虫病毒，它并不改变文件，但将自己复制到系统内存中，而这个过 程对用户通常是不可见的。病毒的影响通常到系统内存被消耗完并且已经呈停 滞状态时才会被发现。 2 ) 文件感染型病毒： 将自己附在可执行程序中，例如c o r n , e x c 文件，还有一些隐藏在操作系统 的执行文件中，包括s y s ，o v l ，p r g , d l l 文件。当程序加载时，病毒就进入了系统。 木马病毒通常隐藏在看起来没有危害的应用程序中，但可以被用作病毒繁殖的 跳板。 3 ) 宏病毒： 一种常见病毒，但通常破坏力没有那么强。通常使用v b 脚本，宏病毒影响 微软的o f f i c e 组件或类似的应用软件，通常通过邮件传播。高发的例子是1 9 9 9 年的美丽莎病毒，通过影响o u t l o o k 来分发自己并寄给其他收件人。 4 ) 入侵型病毒： 可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些 特定程序，针对性强。一般情况下难以发现，清除起来较困难。 5 ) 嵌入式病毒： 这种病毒将自身代码嵌入到被感染文件中，当文件被感染后，查杀和清除 病毒都非常不易。不过编写嵌入式病毒比较困难，所以这种病毒数量不多。 6 ) 外壳类病毒： 这种病毒将自身代码附着于正常程序的首部或尾部。该类病毒的种类繁多， 大多感染文件的病毒都是这种类型。 7 1 ) 病毒生成工具： 通常是以菜单形式驱动，只要是具备一点计算机知识的人，利用病毒生成 4 第1 章引言 工具就可以像点菜一样轻易地制造出计算机病毒，而且可以设计出非常复杂的 具有偷盗和多形性特征的病毒。 二、病毒防范技术 1 ) 特征代码法阎 特征代码法早期被应用于s c a n 、c p a v 等著名病毒检测工具中。国外专家 认为特征代码法是检测已知病毒的最简单、开销最小的方法。 特征代码法的实现步骤如下： ， 扎采集已知病毒样本，病毒如果既感染c o m 文件，又感染e x e 文件，对 这种病毒要同时采集c o m 型病毒样本和e x e 型病毒样本。在病毒样本中，抽 取特征代码。 b 依据如下原则：抽取的代码比较特殊，不大可能与普通正常程序代码吻 合。抽取的代码要有适当长度，一方面维持特征代码的唯一性，另一方面又不 要有太大的空间与时间的开销。如果1 种病毒的特征代码增长1 个字节，那么 要检测3 0 0 0 种病毒，增加的空间就是3 0 0 0 个字节。在保持唯一性的前提下， 尽量使特征代码长度短些，以减少空间与时间开销。在既感染c o m 文件又感染 e x e 文件的病毒样本中，要抽取两种样本共有的代码。将特征代码纳入病毒数 据库。 c 打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的 病毒特征代码。如果发现病毒特征代码，由于特征代码与病毒一一对应，便可 以断定，被查文件中患有何种病毒。 采用病毒特征代码法的检测工具，面对不断出现的新病毒，必须不断更新 版本，否则检测工具便会老化，逐渐失去实用价值。病毒特征代码法对从未见 过的新病毒，自然无法知道其特征代码，因而无法去检测这些新病毒。 特征代码法的优点是：检测准确快速、可识别病毒的名称、误报警率低、 依据检测结果，可做解毒处理。其缺点是：不能检测未知病毒；搜集已知病毒 的特征代码时费用开销大，在网络上效率低( 在网络服务器上，因长时间检索 会使整个网络性能变坏) 。 其特点： 5 第1 章引言 i速度慢。随着病毒种类的增多，检索时间变长。如果检索5 0 0 0 种病毒， 必须对5 0 0 0 个病毒特征代码逐一检查。如果病毒种数再增加，检病毒的时间开 销就变得十分可观。此类工具检测的高速性，将变得日益困难。 i i 误报警率低。 i i i不能检查多形性病毒。特征代码法是不可能检测出多态性病毒。国外 专家认为多态性病毒是病毒特征代码法的索命者。 i v不能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存，后运行病毒检测 工具，隐蔽性病毒能先于检测工具，将被查文件中的病毒代码剥去，检测工具 所检查的是一个虚假的“好文件，不会报警，被隐蔽性病毒所蒙骗。 2 ) 校验和法 对正常文件的内容，计算其校验和，将该校验和写入该文件中或写入别的 文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内 容算出的校验和与原来保存的校验和是否一致，从而发现文件是否感染，这种 方法叫校验和法，它既可发现已知病毒又可发现未知病毒。在s c a n 和c p a v 工具的后期版本中除了病毒特征代码法之外，还纳入校验和法，以提高其检测 能力。 这种方法既能发现已知病毒，也能发现未知病毒，但是，它不能识别病毒 类，不能报出病毒名称。由于病毒感染并非文件内容改变的唯一非他性原因， 文件内容的改变有可能是正常程序引起的，所以校验和法常常误报警。而且此 种方法也会影响文件的运行速度。 病毒感染的确会引起文件内容变化，但是校验和法对文件内容的变化太敏 感，又不能区分正常程序引起的变动，频繁报警。用监视文件的校验和来检测 病毒，不是最好的方法。这种方法遇到已有软件版本更新、口令变更、运行参 数修改等情况时，都会误报警。校验和法对隐蔽性病毒无效。隐蔽性病毒进驻 内存后，会自动剥去染毒程序中的病毒代码，使校验和法受骗，对一个有毒文 件算出的是正常校验和。 运用校验和法查病毒采用三种方式： 在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态的 校验和，将校验和值写入被查文件中或检测工具中，然后进行比较。 6 第1 章引言 在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验和 写入文件本身中。每当应用程序启动时，比较现行校验和与原校验和值，实现 应用程序的自检测。 将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查 应用程序内部或别的文件中预先保存的校验和。 校验和法的优点是：方法简单，能发现未知病毒以及被查文件的细微变化。 其缺点是：需要记录正常文件的校验和，会误报警，不能识别病毒名称， 不能对付隐蔽型病毒。 3 ) 行为监测法 利用病毒的特有行为特征性来监测病毒的方法，称为行为监测法。通过对 病毒的观察和研究，有一些行为是病毒的共同行为，而且比较特殊。在正常程 序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为， 立即报警。 这些作为监测病毒的行为特征如下： a 占有i n t1 3 h 所有的引导型病毒都会攻击b o o t 扇区或主引导扇区。系统 启动时，当b o o t 扇区或主引导扇区获得执行权时，系统刚刚开工。一般引导型 病毒都会占用i n t1 3 h 功能，因为其他系统功能未设置好，无法利用。引导型 病毒占据i n t1 3 h 功能，在其中放置病毒所需的代码。 b 改d o s 系统为数据区的内存总量。病毒常驻内存后，为了防止d o s 系统 将其覆盖，必须修改系统内存总量。 c 对c o m 、e x e 文件做写入动作。病毒要感染，必须写c o m 、e x e 文件。 d 病毒程序与宿主程序切换。染毒程序运行中，先运行病毒，而后执行宿主 程序。 在两者切换时，有许多特征行为。行为监测法的长处：既可发现未知病毒 又可较准确地预报多数未知病毒。 行为监测法的缺点：可能误报警，不能识别病毒名称，实现时有一定难度。 4 ) 软件模拟法 多态性病毒每次感染时会变化其病毒密码。对付这种病毒，特征代码法失 7 第1 章引言 效。因为多态性病毒代码实施密码化，而且每次所用密钥不同，把染毒的病毒 代码进行比较，无法找出相同的可以作为特征的稳定代码。虽然行为检测法可 以检测多态性病毒，但是在检测出病毒后，因为不知病毒的种类，难于做消毒 处理。 1 2 3 木马分析 一、木马软件的主要类型及特征： 1 。远程控制型木马软件 远程控制型木马软件是数量最多，危害最大，同时知名度也最高的一种木 马软件【9 】，它可以让攻击者完全控制被感染的计算机，攻击者可以利用它完成一 些甚至连计算机主人本身都不能顺利进行的操作，其危害之大实在不容小觑。 由于要达到远程控制的目的，所以该种类的木马软件往往集成了其他种类木马 软件的功能，使其在被感染的机器上为所欲为，可以任意访问文件，得到机主 的私人信息甚至包括信用卡，银行账号等至关重要的信息。 2 密码发送型木马软件 密码发送型木马软件是专门为了盗取被感染计算机上的密码而编写的，木 马软件一旦被执行，就会自动搜索内存、c a c h e 、临时文件夹以及各种敏感密码 文件。一旦搜索到有用的密码，木马软件就会利用免费的电子邮件服务将密码 发送到指定的邮箱。从而达到获取密码的目的。所以这类木马软件大多使用2 5 号端口发送e - m a i l 。大多数这类木马软件不会在每次w i n d o w s 重启时重启。这 种木马软件的目的是找到所有的隐藏密码并且在受害者不知道的情况下把它们 发送到指定的信箱。 3 键盘记录型木马软件 这种木马软件只做一件事情，就是记录受害者的键盘敲击并且在l o g 文件 里查找密码。随着w i n d o w s 的启动而启动。它们有在线和离线记录这样的选项， 顾名思义，它们分别记录你在线和离线状态下敲击键盘时的按键情况。也就是 说你按过什么按键，从这些按键中他很容易就会得到你的密码等有用信息，甚 至是你的信用卡账号。当然，对于这种类型的木马，邮件发送功能也是必不可 少的。 4 。破坏型木马软件 这种木马软件惟一的功能就是破坏被感染计算机的文件系统，使其遭受系 8 第1 章引言 统崩溃或者重要数据丢失的巨大损失。从这一点上来说，它和病毒很相像。不 过，一般来说，这种木马软件的激活是由攻击者控制的，并且传播能力也比病 毒逊色很多。 5 d o s 攻击型木马软件 随着d o s 攻击的越来越广泛应用，被用作d o s 攻击的木马软件也越来越流 行起来。当计算机上运行了这种木马软件，那么日后这台计算机就成为攻击者 实现d o s 攻击的最得力助手了，被称作肉鸡。攻击者控制的肉鸡数量越多，其 发动d o s 攻击取得成功的机率就越大。所以，这种木马的危害不是体现在被感 染计算机上，而是体现在攻击者可以利用它来攻击一台又一台计算机，给网络 造成很大的伤害和损失。 还有一种类似d o s 攻击型木马软件叫做邮件炸弹木马软件。一旦机器被感 染，邮件炸弹木马软件就会随机生成各种各样主题的信件，对特定的邮箱不停 地发送邮件，一直到对方瘫痪，不能接受邮件为止。 6 代理型木马软件 黑客在入侵的同时掩盖自己的足迹，谨防别人发现自己的身份是非常重要 的，因此，给被控制的肉鸡种上代理型木马软件，让其变成攻击者发动攻击的 跳板是代理型木马软件最重要的任务。通过木马软件，攻击者可以在匿名的情 况下使用t e l n e t , i c q ，i r c 等程序，从而隐蔽自己的踪迹。 7 f t p 型木马软件 这种木马软件可能是最简单和最古老的木马软件了，它的惟一功能就是打 开2 1 端口，等待用户连接。现在新f t p 木马软件还加上了密码功能，这样，只 有攻击者本人才知道正确的密码，从而进人对方计算机。 8 程序杀手型木马软件 程序杀手型木马软件的功能就是关闭对方机器上运行的防木马软件程序， 让其他的木马更好地发挥作用。 9 反弹端口型木马软件 反弹端口型木马软件的服务端( 即被控制端) 使用主动端口，客户端( 即控 制端) 使用被动端口。木马软件在被控制端上定时监测控制端的存在，发现控制 端上线立即主动连接控制端打开的主动端口；为了隐蔽起见，控制端的被动端 口一般开在8 0 。 9 第1 章引言 二、木马软件的特性分析： 1 隐蔽性。 在系统启动时自动启动，或者当用户执行正常程序的同时启动木马，在用 户难以察觉的情况下，完成一些危害用户的操作，具有隐蔽性。 它的隐蔽性主要体现在以下两个方面：( 1 ) 没有界面。( 2 ) 木马程序通常依附在 其他程序之中，不作为单独的程序出现网。通常实现隐蔽的方式有：内核嵌入方 式、远程线程插入技术、挂接p s a p i 等。 2 自动恢复功能。 现在很多的木马程序中的功能模块不再由单一的文件组成，而是具有多重 备份，可以相互恢复。 3 、功能的特殊性。 通常的木马功能都是十分特殊的，除了普通的文件操作以外，有些木马具 有搜索c a c h e 中的口令；设置口令；扫描目标机器人的p 地址；进行键盘记录； 远程操作注册表；上传和下载以及限制系统功能等功能。远程访问型木马软件 通常会在你的电脑上打开一个端口以保持连接。 三、木马软件的检测技术【1 0 】： 1 ) 对照备份的常用进程 2 ) 对照备份的系统d l l 文件列表 3 ) 对照已加载模块 4 ) 查看可疑端口 1 2 4 防御黑客攻击 一、黑客攻击的主要方式 黑客对网络的攻击方式是多种多样的，一般来讲，攻击总是利用“系统配置 的缺陷”，“操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的。到目前为 止，已经发现的攻击方式超过2 0 0 0 种【1 1 】，其中对绝大部分黑客攻击手段已经有 相应的解决方法，这些攻击大致可以分为以下六类【1 2 】： 1 拒绝服务( d e n yo fs e r v i c e ) 攻击： 一般情况下，拒绝服务攻击是通过使被攻击对象( 通常是工作站或重要服 务器) 的系统关键资源过载，从而使被攻击对象停止部分或全部服务。目前己 1 0 第1 章引言 知的拒绝服务攻击就有几百种，它是最基本的入侵攻击手段，也是最难对付的 入侵攻击之一，典型示例有s y nf l o o d 攻击、p i n gf l o o d 攻击、l a n d 攻击、w i n n u k e 攻击等。 2 非授权访问尝试： 非授权访问尝试是攻击者对被保护文件进行读、写或执行的尝试，也包括 为获得被保护访问权限所做的尝试。 3 预探测攻击： 在连续的非授权访问尝试过程中，攻击者为了获得网络内部的信息及网络 周围的信息，通常使用这种攻击尝试，典型示例包括s a t a n 扫描、端口扫描和 邛半途扫描等。 4 可疑活动： 指通常定义的“标准”网络通信范畴之外的活动，也可以指网络上不希望有的 活动，如i pu n k n o w np r o t o c o l 和d u p l i c a t ei pa d d r e s s 事件等。 5 协议解码： 协议解码可用于以上任何一种非期望的方法中，网络或安全管理员需要进 行解码工作，并获得相应的结果，解码后的协议信息可能表明期望的活动，如 f t u u s e r 和p o r t m a p p e rp r o x y 等解码方式。 6 系统代理攻击： 这种攻击通常是针对单个主机发起的，而并非整个网络，通过r e a l s e c u r e 系统代理可以对它们进行监视。 二、黑客攻击行为的特征分析与反攻击技术 下面是针对目前常见的几种典型的入侵攻击的分析和目前提出的相应对 策。 1 l a n d 攻击 攻击类型：l a n d 攻击是一种拒绝服务攻击。 攻击特征：用于l a n d 攻击的数据包中的源地址和目标地址是相同的，因为 当操作系统接收到这类数据包时，不知道该如何处理堆栈中通信源地址和目的 地址相同的这种情况，循环发送和接收该数据包，消耗大量的系统资源，从而 可能造成系统崩溃或死机等现象。 检测方法：判断网络数据包的源地址和目标地址是否相同。 第1 章引言 反攻击方法：适当配置防火墙设备或过滤路由器的过滤规则就可以防止这 种攻击行为( 一般是丢弃该数据包) ，并对这种攻击进行审计( 记录事件发生的 时间，源主机和目标主机的m a c 地址和p 地址) 。 2 t c ps y n 攻击 攻击类型：t c ps y n 攻击是一种拒绝服务攻击。 攻击特征：它是利用t c p 客户机与服务器之间三次握手过程的缺陷来进行。 攻击者通过伪造源m 地址向被攻击者发送大量的s y n 数据包，当被攻击主机接 收到大量的s y n 数据包时，需要使用大量的缓存来处理这些连接并将s y na c k 数据包发送回错误的i p 地址，并一直等待a c k 数据包的回应，最终导致缓存 用完，不能再处理其它合法的s y n 连接，即不能对外提供正常服务。 检测方法：检查单位时间内收到的s y n 连接是否超过系统设定的值。 反攻击方法：当接收到大量的s y n 数据包时，通知防火墙阻断连接请求或 丢弃这些数据包，并进行系统审计。 3 p i n go f d e a t h 攻击 攻击类型：p i n go f d e a t h 攻击是一种拒绝服务攻击。 攻击特征：该攻击数据包大于6 5 5 3 5 个字节。由于部分操作系统接收到长 度大于6 5 5 3 5 字节的数据包时，就会造成内存溢出、系统崩溃、重启、内核失 败等后果，从而达到攻击的目的。 检测方法：判断数据包的大小是否大于6 5 5 3 5 个字节。 反攻击方法：使用新的补丁程序，当收到大于6 5 5 3 5 个字节的数据包时， 丢弃该数据包，并进行系统审计。 4 w i n n u k e 攻击 攻击类型：w i n n u k e 攻击是一种拒绝服务攻击。 攻击特征：w i n n u k e 攻击又称带外传输攻击，它的特征是攻击目标端口， 被攻击的目标端口通常是1 3 9 、1 3 8 、1 3 7 、1 1 3 、5 3 ，而且u r g 位设为“1 ”，即 紧急模式。 检测方法：判断数据包目标端口是否为1 3 9 、1 3 8 、1 3 7 等，并判断u r g 位 是否为“1 ”。 反攻击方法：适当配置防火墙设备或过滤路由器就可以防止这种攻击手段 ( 丢弃该数据包) ，并对这种攻击进行审计( 记录事件发生的时间，源主机和目 标主机的m a c 地址和口地址m a c ) 。 1 2 第1 章引言 5 t e a r d r o p 攻击 攻击类型：t e a r d r o p 攻击是一种拒绝服务攻击。 攻击特征：t e a r d r o p 是基于u d p 的病态分片数据包的攻击方法，其工作原 理是向被攻击者发送多个分片的p 包( p 分片数据包中包括该分片数据包属于 哪个数据包以及在数据包中的位置等信息) ，某些操作系统收到含有重叠偏移的 伪造分片数据包时将会出现系统崩溃、重启等现象。 检测方法：对接收到的分片数据包进行分析，计算数据包的片偏移量( o f f s e t ) 是否有误。 反攻击方法：添加系统补丁程序，丢弃收到的病态分片数据包并对这种攻 击进行审计。 6 t c p u d p 端口扫描 攻击类型：t c p u d p 端口扫描是一种预探测攻击。 攻击特征：对被攻击主机的不同端口发送t c p 或u d p 连接请求，探测被攻 击对象运行的服务类型。 检测方法：统计外界对系统端口的连接请求，特别是对2 1 、2 3 、2 5 、5 3 、 8 0 、8 0 0 0 、8 0 8 0 等以外的非常用端口的连接请求。 反攻击方法：当收到多个t c p u d p 数据包对异常端口的连接请求时，通知 防火墙阻断连接请求，并对攻击者的p 地址和m a c 地址进行审计。 对于某些较复杂的入侵攻击行为( 如分布式攻击、组合攻击) 不但需要采 用模式匹配的方法，还需要利用状态转移、网络拓扑结构等方法来进行入侵检 测。 1 3 论文各部分的主要内容 第一章指出了课题研究的目的和意义。综述了国内外有关恶意软件的检测 和防范技术的研究现状，并对各种技术和方法进行了分析和比较，指出了它们 存在的一些不足之处。 第二章我们通过分析恶意软件的特征，列出恶意软件的自启动机制，攻击 技术和隐藏技术，并由此构建单机防御系统的模型。 第三章主要论述单机防御模型的实现。针对恶意软件特征，首先阐述了捕 1 3 第1 章引言 获特征行为的主要方法，在此基础上，实现了基于系统底层功能的行为阻断模 式，并提出使用自学习方式来跟踪未知恶意软件的方法。 第四章对我们提出的单机防御系统和常用商用防御系统进行了对比分析。 同时，将该防范模型与国内外的现有技术进行了比较。 第五章总结了论文的主要工作和贡献，指出了目前工作中存在的问题，同 时展望了未来恶意软件的检测与防范技术的研究发展方向。 1 4 第2 章恶意软件技术分析 第2 章恶意软件技术分析 2 1 恶意软件的共有特征 自恶意软件诞生以来，经过多年的发展，特别是随着互联网的普及，到现 在为止，已经有几万种恶意程序。虽然这些程序使用不同的程序设计语言编写， 在不同的环境下运行，但是恶意软件不同于普通的病毒程序，因为它的主要目 的是相似的，都是为了远程控制和窃取资料，因而所有的恶意软件存在一些共 同的特征。其中，一个恶意软件必须具备的特征可以总结为以下几方面【1 3 】： ( 1 ) 隐蔽性 隐蔽性是恶意软件的首要特征。恶意软件为了悄悄地长期运行于入侵主机 中，往往会千方百计地隐藏自己，不被发现。比较简单的恶意软件一般要隐藏 自己的窗口；技术复杂些的恶意软件会将自己伪装成系统进程或是系统服务， 还有的恶意软件将自己的代码注入到别的合法进程中去：技术比较高级一些的 恶意软件会以驱动程序的形式修改内核【1 4 】，让用户查看不到它的存在。 ( 2 ) 自动运行性 恶意软件为了长期控制入侵主机，一般会修改系统的注册表或配置文件， 以便在系统重新启动以后，自动加载恶意软件；如果一个恶意软件不能自动运 行，那么每次重启，入侵者都要重新攻击。在注册表的某些项例如h k e yl o c a lm a c h i n e s o f l w a re m i c r 0 s 0 挑d o w s c u r r e n t v e r s i o n ：r u n 中设置内容 为“c ：w i n d o w s s y s t e m 3 2 、s 纽话e 州豫e x e ，则系统启动以后会自动运行s t a r t s e r v i c e e x e 这个程序【”】。修改系统的w i n i n i 、s y s t e m i n i 、a u t o r u n b a t 等系统配置文 件也可以达到同样的效果【1 6 1 。 ( 3 ) 功能特殊性 恶意软件的目的就是控制入侵主机或者窃取敏感资料，因而恶意软件必然 会具有一些特殊的功能，如搜索计算机的口令；记录键盘操作；远程抓屏；甚 至会锁定键盘和鼠标；删除系统文件；破坏系统等。 ( 4 ) 网络通信 为了远程控制入侵主机，恶意程序肯定会有网络通信功能。初期的木马会 在服务器端开一个端口，监听控制端发来的命令。现在的木马为了更加隐蔽自 1 5 第2 章恶意软件技术分析 己，不再开启通信端口，而是利用底层口包通信，或者是采用反弹端口形式实 现通信。不管采用哪种技术，网络通信是恶意软件必须具有的功能。 在恶意软件发展过程中，其使用的技术在不断的进步，实现也不断的复杂 化和底层化，下面我们从恶意软件的自启动机制、攻击( e x p l o i t ) 技术以及隐藏 ( h i d d e n ) 技术三个方面来分析恶意软件的行为，并由此提出我们的单机防御方 案。 ， 2 2 自启动机制 为了使木马程序在系统重新启动以后能够自动运行，木马程序利用了很多 操作系统的特性。例如修改注册表，很多木马利用了注册表中r u n 、 r u n s e r v i c e 等键值，实现自启动；还有的木马修改系统配置文件，如w i n i n i 、 s y s t e m i n i 文件等。下面介绍木马最为常用的自启动机制： ( 1 ) 系统启动文件夹 在、胴n d o w s 的文件系统中，有个文件夹是专门存放系统启动以后自动运行 的程序。下面给出系统的文件夹： c ：w i n d o w s l s t a r tm e n u k p r o g r a m s s t a r t u p c ：w i n d o w s l a l lu s e r s l s m nm e n u p r o g r a m s s t a r t u p 这是最基本、最常用的w m d o w s 启动方式，主要用于启动一些应用软件的 自启动项目，如o f f i c e 的快捷菜单。一般用户希望启动时所要启动的文件也可 以通过这里启动，只需把所需文件或其快捷方式放入文件夹中即可。这个文件 夹是可以更改的，虽然文件夹中的内容在默认状态下可以被用户看得一清二楚， 但通过改动还是可以达到相当隐蔽的启动目的。 ( 2 ) 系统配置文件 由于系统的配置文件对于大多数的用户来说都是相当陌生的，这就造成了 这些启动方法相对来说非常隐蔽。有的恶意软件就是通过修改配置文件实现自 启动。这两个系统配置文件是w 玳i n l 和s y s t e m i n i 。 w 玳。i n i 文件中与启动部分有关的格式如下： 1 6 第2 章恶意软件技术分析 s y s t e m i n i 文件中与启动部分有关的格式如下： 将s h e l l 部分的内容改为s h e l l = e x p l o r e r e x es t a r t s e r v i c e e x e ，系统启动后就会 自动运行e x p l o r e r 和s t a r t s e r v i c e 两个程序。 ( 3 ) 注册表启动 注册表中的启动是被使用最频繁的启动方式，而且这样的方式也有一些隐 蔽性较高的方法。常规的启动方法是在下列键值中设置要启动的程序旧： h k e y l o c a l m a c h i n e s o f t w a r e k m i c r o s o f i w i n d o w s c u r r e n t v e r s i o n r u n h k e y l o c a l m a c h i n e s o f t w a r e h m i 凹o s o f l w i n d o w s c u r r e n t v e r s i o n r u n o n c e h k e y l o c a l m a c h i n e s o f t w a r e w l i c r o s o f i w i n d o w s c u r r e n t v e r s i o n r u n o n c e e x h k e y l o c a l m a c h i n e s o