內(nèi)存動(dòng)態(tài)安全監(jiān)測(cè)及防范研究.pdf

1、隨著信息安全技術(shù)的不斷發(fā)展，傳統(tǒng)的針對(duì)操作系統(tǒng)用戶態(tài)的入侵手段大多能夠被市面上的殺毒軟件查殺或攔截，入侵技術(shù)越來(lái)越偏向從系統(tǒng)內(nèi)核入手，通過(guò)修改內(nèi)核數(shù)據(jù)結(jié)構(gòu)實(shí)現(xiàn)惡意進(jìn)程的隱藏，繞過(guò)殺毒軟件進(jìn)而篡改系統(tǒng)配置達(dá)到其犯罪目的。目前已有不少系統(tǒng)狀態(tài)監(jiān)測(cè)軟件能監(jiān)測(cè)到系統(tǒng)應(yīng)用層面的狀態(tài)變更，但很少?gòu)南到y(tǒng)內(nèi)存角度對(duì)進(jìn)程、線程、系統(tǒng)調(diào)用等進(jìn)行檢測(cè)，以致對(duì)系統(tǒng)檢測(cè)不徹底、不全面，系統(tǒng)底層隱患難以發(fā)掘，因此針對(duì)操作系統(tǒng)內(nèi)核態(tài)攻擊進(jìn)行檢測(cè)和防御的研究十分必要。

2、
　　論文著重從系統(tǒng)內(nèi)核級(jí)內(nèi)存地址空間入手，通過(guò)深入Windows內(nèi)核入侵的技術(shù)原理，分析進(jìn)程隱藏、SSDT HOOK、Rootkits等常見(jiàn)攻擊手段，提出針對(duì)隱藏進(jìn)程和Rootkits攻擊的檢測(cè)和恢復(fù)方案，并實(shí)現(xiàn)了注冊(cè)表、文件系統(tǒng)監(jiān)控模塊，防止惡意進(jìn)程對(duì)系統(tǒng)核心配置項(xiàng)或文件進(jìn)行篡改。論文研究成果已應(yīng)用于政府、機(jī)關(guān)、企業(yè)內(nèi)網(wǎng)，在信息安全領(lǐng)域具有應(yīng)用價(jià)值。
　　論文針對(duì)Windows系統(tǒng)內(nèi)核態(tài)的內(nèi)存進(jìn)行研究，研究了內(nèi)存動(dòng)態(tài)安全

3、檢測(cè)及防范的策略，具體工作包括:
　　(1)研究了惡意軟件如何利用內(nèi)核態(tài)內(nèi)存對(duì)Windows操作系統(tǒng)實(shí)施惡意攻擊的機(jī)理，分析其對(duì)系統(tǒng)運(yùn)行安全狀態(tài)和用戶信息安全造成的影響。
　　(2)分析了當(dāng)前流行的內(nèi)核態(tài)內(nèi)存攻擊檢測(cè)技術(shù)，包括Rootkit檢測(cè)、內(nèi)核對(duì)象劫持檢測(cè)、SSDT HOOK檢測(cè)等，通過(guò)分析其技術(shù)實(shí)現(xiàn)原理，為實(shí)現(xiàn)內(nèi)存動(dòng)態(tài)安全監(jiān)測(cè)系統(tǒng)做好技術(shù)支撐。
　　(3)設(shè)計(jì)并實(shí)現(xiàn)了內(nèi)存動(dòng)態(tài)安全監(jiān)測(cè)系統(tǒng)，該系統(tǒng)能夠監(jiān)測(cè)系統(tǒng)文件