基于內(nèi)核過濾技術(shù)的Drive-by Downloads防御系統(tǒng)設(shè)計與實現(xiàn).pdf

1、基于瀏覽器的偷渡式下載攻擊(Drive-by Download Attacks)已經(jīng)成為當(dāng)前最具威脅的惡意攻擊方式之一。與正常的彈出式下載方式不同，偷渡式下載攻擊在不與用戶交互的情況下利用系統(tǒng)程序漏洞完成攻擊。在成功入侵用戶系統(tǒng)后，攻擊者可以獲取目標(biāo)機上重要的銀行賬號或購物網(wǎng)站登陸息。
　　根據(jù)偷渡式下載攻擊特點，傳統(tǒng)的防御方法一般分為三種，基于靜態(tài)或動態(tài)網(wǎng)頁代碼分析技術(shù)、蜜罐技術(shù)、基于代碼層的檢測方法。在充分分析相關(guān)技術(shù)的優(yōu)勢與

2、不足后，本文基于WindoWS文件系統(tǒng)過濾驅(qū)動與用戶層鉤子技術(shù)，實現(xiàn)了一種有效防御采用偷渡式下載方式的惡意程序執(zhí)行的系統(tǒng)。本文創(chuàng)新之處主要有以下兩點：
　　首先，為了正確區(qū)分文件下載方式為偷渡式下載還是彈出式下載，本文在應(yīng)用層模塊中引入文件下載全路徑(File Full-Path)概念解決下載方式的匹配問題。首先分析用戶下載行為，判斷出用戶確定下載時間點；然后攔截瀏覽器的文件下載過程，獲取下載彈出進度框中的文件存放目錄，將其作為文

3、件全路徑參數(shù)下傳給內(nèi)核層文件過濾驅(qū)動模塊。
　　其次，在內(nèi)核層模塊設(shè)計中引入特殊空間(special Zone)概念。特殊空間的功能是禁止被重定向進入到此空間的可執(zhí)行文件的執(zhí)行。基于MiniFilter過濾驅(qū)動的文件過濾模塊將所有通過瀏覽器進程下載的可執(zhí)行文件先重定向到特殊空間里，然后根據(jù)文件全路徑信息匹配文件下載方式。當(dāng)文件下載方式為彈出式下載時，需要將文件還原到原保存目錄，這樣做的目的是保證系統(tǒng)對用戶的透明性。由于惡意程序一定