欢迎来到天天文库
浏览记录
ID:1347727
大小:670.00 KB
页数:59页
时间:2017-11-10
《基于行为监控的木马查杀技术设计方案》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、基于行为监控的木马查杀技术设计方案绪论计算机的广泛应用把人类带入了一个全新的信息时代,不仅大大地方便了人们的生活,而且还直接影响着社会的各个方面;计算机及信息系统在给人们提供高速计算、海量信息、协同处理等各种服务的同时,其本身的安全性、完整性和可用性也受到了前所未有的威胁,计算机病毒、计算机犯罪、黑客攻击、系统故障等事件层出不穷,尤其是近年来计算机病毒的增长速度之快、传播范围之广、造成损失之大令人痛心疾首。2007年初,我读到了《中国互联网2006年度信息安全报告》。该报告中显示,2006年全国的
2、计算机病毒呈现三大特点:一是电脑病毒呈爆炸式增长。全年共截获新增病毒多达240156种(图0.1)。图0.12003、2004、2005、2006连续四年新增病毒数量对比示意图二是木马增长特快,并且变种多、比例高。2006年,木马的新增数占总病毒新增数的73%,多达175313种。有的木马程序在一天之内增加了10余个不同的变种(图0.2)。而在所有的木马中,盗号木马又是最严重的一类,所占比例高达76.04%,成为了名副其实的“最毒”。59图0.22006年新增病毒主要类型所占比例示意图三是破坏力强
3、,木马所造成的灾难非常严重。病毒不仅使全国75,967,19台计算机受到感染,破坏了大量的硬件设施和软件设备,而且使广大网民的网上财产受到了空前的损失。特别是盗号木马不仅疯狂盗取网民的网银、虚拟财产,而且还盗取个人信息、企业资料等各种重要数据,已经形成了强大的无孔不入的产业链,成为了众多网民面临的第一大威胁。资料证明6:在过去的两年里,有91.35%的计算机遭受过木马的攻击,有51%的恶意程序是专门用于盗取网银、网游等网络财产和QQ号、密码、数据的木马,每年给国家和网民造成115亿元以上的经济损失
4、,而且还在以74%的速度递增。面对如此严峻的形势,我的心情非常沉重:既然木马这么严重,特别是盗号木马已经成为网民的第一大威胁,为什么我们还要由它肆意泛滥而坐视不管呢?是我们没有能力解决还是有能力解决但没有找到好的办法呢?作为一名计算机爱好者,特别是一名有志青年,为什么不为消除恶意程序尽点自己的努力呢?于是,我开始留意这方面的成果,收集相关资料,下定决心找一种无需特征码、主动防御、能为用户提供木马详尽信息的方法,为广大网民、为互联网的安全、也为我国的计算机事业做出自己的贡献,于是我坚定地开始了该课题
5、的研究。591系统功能及总体架构1.1软件功能1.1.1对键盘记录型木马的监控使用全局钩子监控键盘的用户输入是当前盗号木马常用的一种盗号方式,本软件的行为监控功能可以及时发现木马并阻止该行为。测试软件:键盘记录者v8.0下载地址:www.onlinedown.net/soft/5142.htm代表类型:使用全局钩子的键盘记录型盗号木马首先,不打开本软件或关闭行为监控功能,直接运行键盘记录者程序。从截图可以看出,键盘记录者已将在记事本中输入的字符截获。图1.1未运行本程序时的情形然后,我们先开启本程
6、序或开启行为监控功能,再运行键盘记录者。从以下截图中可以看出,在键盘记录者运行时,本程序给出了提示以及键盘记录者程序的路径。同时,由于默认的行为规则为阻止全局钩子设置,键盘记录者已无法发挥作用。59图1.2本程序检测到全局钩子的设置并给出提示图1.3由于设置钩子被阻止,键盘记录功能已无法发挥作用1.1.1对消息发送型木马的监控通过向文本框发送WM_GETTEXT消息获取其中的文本也是常见的一种盗号方法,本软件对此行为也进行了监控。测试软件:窗体属性修改专家2007下载地址:http://www.s
7、kycn.com/soft/9342.html代表类型:通过发送WM_GETTEXT消息获取文本框文本的木马首先,不打开本软件或关闭行为监控功能,直接运行窗体属性修改专家2007,打开记事本,随意键入一些文本,再按窗体属性修改专家的方法,将头像图标拖至记事本的文本框。从截图可以看出,记事本的文本已出现在“获得窗口的文本或*号密码”中。59图1.4窗体属性修改专家已将记事本中的文本显示出来然后,我们先开启本程序或开启行为监控功能,再运行窗体属性修改专家。从以下截图中可以看出,在尝试获取文本时,本程序
8、给出了提示以及窗体属性修改专家的程序路径。同时,由于默认的行为规则为阻止了文本获取,“获得窗口的文本或*号密码”中已无任何文本出现。59图1.5窗体属性修改专家已无法获取文本1.1.1系统状况分析:全局钩子检测众所周知,全局钩子是一种能截获系统范围内的消息并进行处理的一种机制,键盘记录型木马使用此技术监视用户键盘、鼠标等活动,盗取密码。本软件的全局钩子检测功能可以检测出系统中当前活动的所有全局钩子,并获取全局钩子的设置者、钩子类型等信息。不论全局钩子何时设置,本功能都能检测出来。因
此文档下载收益归作者所有