內(nèi)存動態(tài)安全監(jiān)測及防范研究.pdf

1、隨著信息安全技術(shù)的不斷發(fā)展，傳統(tǒng)的針對操作系統(tǒng)用戶態(tài)的入侵手段大多能夠被市面上的殺毒軟件查殺或攔截，入侵技術(shù)越來越偏向從系統(tǒng)內(nèi)核入手，通過修改內(nèi)核數(shù)據(jù)結(jié)構(gòu)實現(xiàn)惡意進(jìn)程的隱藏，繞過殺毒軟件進(jìn)而篡改系統(tǒng)配置達(dá)到其犯罪目的。目前已有不少系統(tǒng)狀態(tài)監(jiān)測軟件能監(jiān)測到系統(tǒng)應(yīng)用層面的狀態(tài)變更，但很少從系統(tǒng)內(nèi)存角度對進(jìn)程、線程、系統(tǒng)調(diào)用等進(jìn)行檢測，以致對系統(tǒng)檢測不徹底、不全面，系統(tǒng)底層隱患難以發(fā)掘，因此針對操作系統(tǒng)內(nèi)核態(tài)攻擊進(jìn)行檢測和防御的研究十分必要。

2、
　　論文著重從系統(tǒng)內(nèi)核級內(nèi)存地址空間入手，通過深入Windows內(nèi)核入侵的技術(shù)原理，分析進(jìn)程隱藏、SSDT HOOK、Rootkits等常見攻擊手段，提出針對隱藏進(jìn)程和Rootkits攻擊的檢測和恢復(fù)方案，并實現(xiàn)了注冊表、文件系統(tǒng)監(jiān)控模塊，防止惡意進(jìn)程對系統(tǒng)核心配置項或文件進(jìn)行篡改。論文研究成果已應(yīng)用于政府、機(jī)關(guān)、企業(yè)內(nèi)網(wǎng)，在信息安全領(lǐng)域具有應(yīng)用價值。
　　論文針對Windows系統(tǒng)內(nèi)核態(tài)的內(nèi)存進(jìn)行研究，研究了內(nèi)存動態(tài)安全

3、檢測及防范的策略，具體工作包括:
　　(1)研究了惡意軟件如何利用內(nèi)核態(tài)內(nèi)存對Windows操作系統(tǒng)實施惡意攻擊的機(jī)理，分析其對系統(tǒng)運(yùn)行安全狀態(tài)和用戶信息安全造成的影響。
　　(2)分析了當(dāng)前流行的內(nèi)核態(tài)內(nèi)存攻擊檢測技術(shù)，包括Rootkit檢測、內(nèi)核對象劫持檢測、SSDT HOOK檢測等，通過分析其技術(shù)實現(xiàn)原理，為實現(xiàn)內(nèi)存動態(tài)安全監(jiān)測系統(tǒng)做好技術(shù)支撐。
　　(3)設(shè)計并實現(xiàn)了內(nèi)存動態(tài)安全監(jiān)測系統(tǒng)，該系統(tǒng)能夠監(jiān)測系統(tǒng)文件