windows環(huán)境下隱蔽調(diào)試器的設(shè)計與實現(xiàn).pdf

1、在安全事件中，惡意代碼造成的經(jīng)濟(jì)損失占有最大的比例。惡意代碼的檢測技術(shù)總是滯后于新惡意代碼的出現(xiàn)。一方面是人們很難區(qū)別正常代碼和惡意代碼；另一方面，很多信息系統(tǒng)缺少必要的保護(hù)措施。因此，人們常常被惡意代碼欺騙，而無意地執(zhí)行惡意代碼。可見惡意代碼被引入系統(tǒng)并執(zhí)行是不可避免的，監(jiān)控、分析或檢測二進(jìn)制程序是否為惡意程序已經(jīng)成為現(xiàn)階段的研究熱點。 惡意代碼為了防止被分析，都有很強的自保護(hù)功能，現(xiàn)在主要的調(diào)試器很難對惡意代碼進(jìn)行分析。同時

2、，軟件保護(hù)技術(shù)的發(fā)展使大量的反調(diào)試工具出現(xiàn)，既有針對源代碼的反調(diào)試工具，又有針對二進(jìn)制程序的反調(diào)試工具。在反調(diào)試工具中，加殼工具功能比較突出，它綜合使用多種技術(shù)對抗代碼分析調(diào)試，而且加殼工具使用非常簡單，越來越多的惡意代碼使用加殼技術(shù)保護(hù)自己。 本文在分析了很多反調(diào)試技術(shù)后，包括檢測斷點技術(shù)、檢測調(diào)試器技術(shù)和自動修改代碼技術(shù)等，設(shè)計并實現(xiàn)了一種隱蔽性強的調(diào)試器。該隱蔽調(diào)試器利用windows分頁管理機制，巧妙地對目標(biāo)進(jìn)程設(shè)置斷點

3、以獲取控制，很好地實現(xiàn)了隱蔽調(diào)試的特性。 為獲得對目標(biāo)進(jìn)程的控制權(quán)，本調(diào)試器利用了windows系統(tǒng)中進(jìn)程的地址空間分為用戶空間和系統(tǒng)空間，代碼執(zhí)行之前系統(tǒng)會進(jìn)行權(quán)限檢查的特點，通過修改了目標(biāo)進(jìn)程內(nèi)存頁面屬性，使目標(biāo)進(jìn)程執(zhí)行時出現(xiàn)異常，從而獲得目標(biāo)進(jìn)程的控制權(quán)。為增強隱蔽性，本調(diào)試器還采用了多種設(shè)計技術(shù)，包括：通過向目標(biāo)進(jìn)程插入shellcode控制目標(biāo)進(jìn)程、不產(chǎn)生在windows系統(tǒng)中的注冊信息等等。在功能使用性方面，本隱蔽調(diào)