监控系统内存数据库监视方法.docVIP

实践创新总结报告 项目名称 利用EIP寄存器检测隐藏病毒方法的研究 项目类型 □个人项目 ■团队项目 项目主持人 刘海燕 扬子 指导教师　 　顾长华 陈天文 结项时间 2014年12月4日 江海职业技术学院 2014年12月 一、本系统的设计方案 我们从系统内核中获取正在运行文件的EIP序列，然后将其与本系统的安全中心的数据库进行对比，判断是否为安全程序，对可疑程序将会提交至云端，在服务器中进行海量数据匹配判断是否为安全程序。本系统分为六大模块：进程监控模块、注册表监控模块、内存加载监控模块、文件创建加载模块、云安全模块、安全监控中心模块。进程监控模块，主要是利用HOOK获取EIP的数据流，然后将其发至安全监控中心进行检测。注册表监控模块，主要是监控注册表，检测是否有可疑行为。内存加载监控模块，主要是监视内存的调用。文件创建加载模块，主要是监视是否存在非正常文件创建和调用。云安全模块，将EIP的数据流发送至云服务器，进行更详细的检测。 二、本系统中各模块具体实现方法 2.1 EIP寄存器 EIP寄存器，用来存储CPU要读取指令的地址，CPU通过EIP寄存器读取即将要执行的指令。每次CPU执行完相应的汇编指令之后，EIP寄存器的值就会增加。 一、因为80386 CPU的寻址范围是4GB，所以它的寻址模式是平坦模式的。CPU通过读取EIP寄存器执行汇编指令的大致过程如下： 1. 首先PE loader装载我们的PE文件，读取PE文件的基地址和入口RVA地址（相对于基地址的偏移），并且读取相应级表结构的值，然后将程序映射到内存； 2. 映射到内存以后，PE loader把返回的程序入口点给EIP寄存器赋值，然后通知CPU：我映射完了，你可以执行了。然后CPU通过将EIP的值传送到输入输出电路，并送入相应的地址总线上，再通过EIP寄存器读取EIP偏移地址中的二进制数据（通常为汇编指令），并传送到数据总线上，最后传送到指令缓冲区。 3. 传送到指令缓冲区后，EIP会自动的增加其读入指令的数量，以便往下执行。最后CPU执行控制器中地址指令缓冲区的指令并且往下执行。 CPU每次执行控制器读取完，相应的就再通过EIP寄存器去进行下一次的读取指令工作。每次CPU读取指令到指令缓冲区，相应的EIP寄存器的值增加，增加大小的就是读取指令的字节大小。 2.2 系统内存数据库监视方法 （）定义监视报告结构；（）向内存数据库创建生成模块；（）通过应用接口配置监视范围，由生成模块自动产生相应的监视模块；（）向内存数据库创建监视模块；（）当监视模块监视到内存数据库数据发生变化时，产生监视报告，由应用接口发布监视报告，提交给应用程序按需求处理。windows.h //定义一个监视注册表启动项的函数?int reg HANDLE hNotify; HKEY hKeyx; //DWORD dwRes; hNotify CreateEvent NULL, //不使用SECURITY_ATTRIBUTES结构 FALSE, //不自动重置 TRUE,?? //设置初始状态 RegistryNotify //事件对象的名称 ; if hNotify 0 MessageBox NULL,CreateEvent failed, ,MB_OK ; ExitProcess 0 ; if RegOpenKeyEx HKEY_LOCAL_MACHINE, //根键 Software\\Microsoft\\Windows\\CurrentVersion\\Run, //子键 0, //reserved KEY_NOTIFY, //监视用 hKeyx //保存句柄 ! ERROR_SUCCESS CloseHandle hNotify ; MessageBox NULL,RegOpenKeyEx failed, ,MB_OK ; ExitProcess 0 ; if RegNotifyChangeKeyValue hKeyx, //监视子键句柄 TRUE, //监视此项的子键 REG_NOTIFY_CHANGE_NAME | REG_NOTIFY_CHANGE_LAST_SET, //监视增加或删除了子键，监视键值发生是否改变 hNotify, //接受注册表变化事件的事件对象句柄 TRUE //注册表变化前报告 ! ERROR_SUCCESS CloseHandle hNotify ; RegCloseKey hKeyx ; MessageBox NULL,RegNotifyChangeKeyValue failed, , MB_OK ; ExitProcess 0 ; if WaitForSingleObject hNotify, INFI