返回
基于IAT表的木马自启动技术(1)

基于IAT表的木马自启动技术(1)

ID:46583058

大小:147.84 KB

页数:3页

时间:2019-11-25

基于IAT表的木马自启动技术(1)_第1页
基于IAT表的木马自启动技术(1)_第2页
基于IAT表的木马自启动技术(1)_第3页
资源描述:

《基于IAT表的木马自启动技术(1)》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、学术研究AcademicResearch基于IAT表的木马自启动技术邓乐,李晓勇(上海交通大学信息安全与工程学院,上海200230)【摘要】随着注册表监视软件的普及以及系统文件保护机制的增强,木马如何安全隐蔽的随机自启动成为一个挑战。论文描述了在WindowsXPSP2环境中如何突破系统文件保护,实现基于IAT表的木马隐蔽自启动技术。【关键词】安全;自启动;木马【中图分类号】TP393【文献标识码】A【文章编号】1009-8054(2007)02-0151-03AutomaticstartupofTrojanhorsebasedonIATtableDENGLe

2、,LIXiaoyong(SchoolofInformationSecurityEngineering,ShanghaiJiaoTongUniversity,Shanghai200230,China)【Abstract】Astheregistrymonitoringsoftwareisbecomingmoreandmorepopularandmeanwhilethesystemfileprotectionisenhanced,howtostartupTrojanhorsewhensystembootstroublesus.Thepaperproposeawayo

3、fbreakingwindowsfileprotectionandstartinguptheTrojanhorsewhensystemboots.【Keywords】security;automaticstartup;Trojanhorse换正在使用的系统文件,同时利用构造输入表(IAT)的方1引言法,达到隐蔽启动木马的目的。为了提高操作系统的稳定性与可靠性,Windows操作系统家族从Windows2000开始使用一种叫做WFP2基本原理(WindowsFileProtection)的机制。WFP可防止程序替换Windows文件保护机制WFP重要的Windo

4、ws系统文件。WFP功能使用两种机制为系统文件提供保护:第一WFP把某些文件认为是非常重要的系统文件(例如,种机制在后台运行,在WindowsXP环境中,其实现的带有.dll、.exe、.ocx和.sys扩展名的文件及某些TrueType代码在sfc_os.dll中实现。在Windows启动阶段,字体),如果备份在%SYSTEMROOT%system32dllcacheWinlogon进程加载sfc_os.dll,调用其中一函数的文件由于某些原因也不可用,那么Windows就会要求插SfcInitProt(),SfcInitProt函数为每一个包含系统保护

5、文入系统光盘,以便从光盘上恢复。因此系统文件保护机制使件的文件夹创建一个“SFC监视线程”,每一个监视线程得对系统文件的修改成为一个挑战。与此同时,系统管理员会为每个受到保护的系统文件创建一个改变通知事件,然的安全意识逐步提高,简单的修改注册表的启动项已经很后调用WaitForMultipleObjects函数等待这些事件的发难达到隐蔽的随系统启动的目的。生。一旦受保护的系统文件被修改,WFP会根据dllcache本文提出并实现了一种隐蔽启动木马的方法,该方法中的文件情况来决定是自动的替换被修改的文件还是通知在WindowsXPSP2环境下突破了文件保护机制,

6、能够替用户插入系统光盘。WFP功能提供的第二种保护机制是系统文件检查器(Sfc.exe)工具。收稿日期:2006-8-73PE(PortableExcutable)文件加载DLL的过程作者简介:邓乐,1982年生,男,硕士研究生,研究方向为PE文件是Win32平台下可执行文件的默认格式。Win-网络安全、高性能网络。李晓勇,1973年生,副教授,研究dows环境中,可执行文件(.exe)、动态链接库(.DLL)、内方向为高性能网络、信息安全。核驱动程序(.sys)都使用PE文件格式,所有的代码和数据信息安全与通信保密·2007.2151学术研究Academic

7、Research都在一个文件中,以连续的平面地址空间存储。当PE文件中IMAGE_IMPORT_BY_NAME结构。的可执行代码引用外部DLL中的代码时,对外部代码的定位OriginalFirstThunk和FirstThunk分别都指向一个信息都保留在PE文件中的输入表,只有当PE文件装入内存IMAGE_THUNK_DATA数组,其中由FirstThunk指向的后,Windows的PE装载器才将相关的DLL装入,并将调用IMAGE_THUNK_DATA数组会在PE加载器加载PE文件输入函数的指令和函数的实际所处地址联系起来,即动态链时重写。接。输入表中保存的

8、是函数名和其驻留的DLL名等动态链接P

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。