WINDOWNT用户模式内存扫描的应用1.pdfVIP

WINDOW NT 用户模式内存扫描的应用1 摘要 检测和终止驻留在内存中的恶意软件，防止恶意软件重启激活长期以来成为最大 的挑战。这种类型的恶意软件可以实现自我隐藏（防御技术），阻止安全软件的终止 或移除（保护技术），降低系统安全性，终止或挂起安全应用（进攻技术）。在检测和 禁用这些类型的恶意软件的技术中，内存扫描起着至关重要的作用。 由于系统可执行环境的复杂性，实现一个基于Windows NT 的内存扫描器特别具 有挑战性。内存扫描分为内核模式和用户模式两种，本文局限于介绍32位和64位基 于Windows NT 的系统的用户模式下的内存扫描。主要是扫描内存中的每个进程的虚 拟地址空间，以及其在内存和物理硬盘的相关对象。我们将在文章中讨论实际的恶意 软件的的例子，演示反探测和反杀毒技术，以及如何应用内存扫描去对付这些恶意软 件。从用户模式检测隐藏进程的某些技术也将被提及并且将讨论用户模式内存扫描的 局限性。 引言 针对微软的Windows 操作系统的计算机恶意软件已经泛滥成灾，现在的增长速 度远超过去的几年。绝大多数的恶意软件都瞄准了32位Windows 系统。虽然尚未有 很多专门针对64位Windows而创建的恶意程序，但是由于64位Windows 的 WOW64 子系统的存在，现有的恶意软件大多可以在64位的Windows 系统上运行。为了获取 黑色收入，恶意软件的作者在制造恶意软件的时候采用了一系列的反侦测和反杀毒策 略，如下： ·恶意软件变得隐秘，更难被发现。 ·使用恶意软件自动生成工具（例如代码混淆）。 ·使用自定义服务器端的加密或加壳技术。 ·监控其相关组件，如磁盘上的文件、注册表项、多数的进程，不允许访问任何外 部程序。 ·升级或以最高权限运行（如作为系统进程或本地服务运行），防止被终止。 ·伪装成合法的进程（如winlogon.exe、explorer.exe、services.exe、lsass.exe 等）。 直接注入恶意代码（如动态链接库或地址无关代码）。 ·通过修改用户模式下的API 函数，本机API 函数或内核数据结构这些内存特征 来隐藏相关的内存进程和磁盘文件。 ·应用于诸如降低系统安全性、终止安全应用的攻击技术。 一个驻留在内存的恶意软件可能使用上述几种技术。这使得杀毒和保持一个无毒 1 Eric Uday Kumar,APPLYINGUSER-MODE MEMORY SCANNINGONWINDOWS NT, VIRUS BULLETIN CONFERENCE OCTOBER 2008 的系统变得更困难。因此，对于反恶意软件系统来说，执行用户模式和内核模式内存 扫描是非常重要的。然而用户模式组件只能运行在用户模式下，并且只有访问当前登 录用户的用户空间虚拟内存的权限，内核模式组件运行在在内核模式，可以以最高权 限访问完整的用户空间和内核虚拟内存空间。这里只讨论应用用户模式内存扫描检测 和终止内存驻留恶意软件的问题。思想和技术的应用请看参考文献[2]。 以下各节探讨相关的工作和基本的用户模式内存扫描思想，如[2]中所述。这是一 份关于64位Windows 和Vista 下的“内存对象的枚举技术”的简短探讨。接着介绍如 何应用这些技术去检测和终止实际驻留在内存中的恶意软件。文章的末尾讨论用户模 式内存扫描的局限性。 相关工作 基于Windows NT 系统的用户模式和内核模式下的内存扫描请看参考文献[3]。该 论文提供了一个很好的关于这一主题的综述，详细的列举了几项实际的恶意软件检测 和清理技术。参考文献[2]讨论了实现Windows NT系统下用户模式内存扫描的相关细 节。这篇论文提出了一种关于用户模式下各种内存对象的冗余信息检索的方法，用于 检测系统的损害状态。它还探讨了某些用户模式下的杀毒技术。 内存对象 这样做是为了通过一些Win32和本机API充分利用用户模式下各种内存对象的冗 余信息[2]。感兴趣的内存对象如下：进程、进程堆、线程、句柄、设备驱动程序和 加载的模块（DLL - 动态链接库）。这些内存对象都与磁盘上的物理对象，如文件和 注册表配置单元项相关。如果机器受到恶意软件的损害，统筹有关信息将帮助我们“查 看”机器的当前内存状态。信息也可以分析任何隐藏的内存对象的（如隐藏的进程）。 一个内存驻留恶意软件是一个已激活的包括至少一个线程的恶意进程。 这些恶 意软件可作为独立进程执行，或者从其他的合法进程执行。独立执行