64位Windows操作系統(tǒng)內(nèi)核監(jiān)控研究.pdf

1、2015年網(wǎng)絡軍火商Hacking Team被黑客入侵，泄露了415G的內(nèi)部資料。這些資料包含大量的攻擊代碼和工具，黑客們利用這些數(shù)據(jù)和源代碼可以快速開發(fā)出破壞力強大的網(wǎng)路武器。Hacking Team的泄露事件，提升了黑客們的攻擊水平、同時也增加了安全廠商的反病毒難度。目前已經(jīng)有大量的黑客組織借鑒了Hacking Team的代碼來制作網(wǎng)絡攻擊工具。Hacking Team最著名的產(chǎn)品是RCS(Remote Control System

2、)系統(tǒng)，他們實現(xiàn)了全平臺的RCS系統(tǒng)，其中的windows平臺木馬可以免殺市面上所有的在線沙箱系統(tǒng)，無論是國內(nèi)的金山火眼、騰訊哈勃，還是國外的anubis、hybrid、malwr等在線檢測平臺均無法有效檢測出這些木馬的惡意行為。Hacking Team采用了大量的沙箱逃逸技術，可以通用地繞過應用層的沙箱檢測技術。為了解決高級木馬的逃逸問題，需要采用內(nèi)核級的監(jiān)控技術來提升沙箱的檢測效果。
　　本文實現(xiàn)了多種行為監(jiān)控技術（包括應用層

3、的鉤子技術、內(nèi)核層的鉤子技術、過濾驅動、基于硬件虛擬化的監(jiān)控技術等），綜合分析了這些技術的優(yōu)缺點，形成了一個全方位的行為監(jiān)控系統(tǒng)，降低了Hacking Team等黑客組織制作的高級木馬逃逸惡意軟件檢測系統(tǒng)的可能性，大大提升了惡意軟件檢測系統(tǒng)的檢測能力。同時，為了全面的釋放惡意軟件的行為，本文研究了windows下的痕跡隱藏和檢測技術。并在惡意軟件檢測系統(tǒng)中加入了各種痕跡隱藏技術，讓惡意軟件察覺不到自身處于被分析的環(huán)境中，從而釋放完整的惡