基于内存扫描的隐藏进程检测技术.pdfVIP

第 29 卷 计算机应用 Vol. 29 June 2α)9 2∞9 年 6 月 Joumal of Computer Applications 文章编号: 1∞1 -佣，81(2朋)SI-∞89 -03 基于内存扫描的隐藏进程检测技术 王嗦，武东英 (信息工程大学信息工程学院，郑州 45仅削) ( wjing4932@ h仙nail. com) 摘 要:针对恶意代码普遍使用 R∞tkit 技术来隐藏自身进程这一特点，提出了基于内存扫描的隐藏进程检测方 法。该方法通过对系统高棉虚拟内存的扫描，判断其中存在的 Windows 内核对象的类型，得到可信的系统进程信息， 从而实现对隐藏进程的检测。同时，该检测方法可以实现对其他类型的 Windows 内核对象的扫描，具有一定的扩展 性。 关键词:内存扫描:隐藏进程;检测 ;Windo晒内核对象;PAE 模式 中图分类号: 1四ω.5 文献标志码 :A Hidden process detection techniques based on memory scanning WANG Ji吨， WU Dong-ying {加幽幽 rjb价rmation E;啼切m吨? InfomUJtion E.略#阳古tg Universùy. Zhe略劝ou Henan45仪削. C，抽回) Abstract: MalicioU8 codeωmmonly uses Rωdcit technology to hide its own PIO(阁s， in 优der to detect maliciOU8 code. This article pro户时 a hidden process de阳tion method based on scanni鸣曲e memo:巧·ηle authors scanned the system high- 四d virtual memory，创mated the Windows kemel object type 皿d g侃出e trustworthy system pro帽s infom酬。，n，也因 achieving 也e hidden proc蹦出tecti佣. At the same way, this det创ion me由叫 ω，uld be used on 0由er ty}:嗣 of Windo晒 kemel 0均ect 能皿ning wi也 a ce血in extensib出ty. Key words: memory scanning; hidden proc倒; d耐ction; Windf1W8 kemel object; PAE mode 0 引言 近年来，随着网络普及程度的提高，在互联网上日益泛滥 的恶意代码已经成为危害计算机和互联网安全的重要因素。 如今的恶意代码为了躲避杀毒软件和安全工具的检测与查 杀，广泛采用了 R∞也it 技术来隐藏自身。 R∞tkit 是入侵者用 来在计算机系统中隐藏自己的一个或一组程序，并且允许以 后也能够访问该计算机。为了达到这个目的，R∞tkit 修改了 操作系统的运行流程或者处理操作系统依赖的审查和记录的 数据集[IJ 。由于 R∞tKit 能够修改系统的关键数据结构以及 程序的执行流程，使得常规安全检测方法和工具被欺骗而变 得不再可信。进程隐藏是恶意代码常用的隐藏手段，必须考 虑将秘密潜伏在系统中的恶意代码进程检测出来，以保证主 机系统的安全。 现有的检测隐藏进程的方法有许多，但是随着Rootkit 技术 的不断发展，恶意代码已经能绕开许多的检测手段，使得传统的 检测方法也变得不可信。本文中基于内存扫描检测隐藏进程的 技术通过对内存中的 wi呻明内核对象的获取和判断，可以得到 当前系统中的可信进程列表，从而达到检测的目的。 1 进程隐藏的原理 恶意代码普遍使用 R∞dcit 技术的原因就是为了隐藏攻 击者在系统中各种行为的存在，作为其中比较重要的一项，进 程隐藏的实现方式主要有以下几种实现方式。 1)DLL 文件注入。将修改过的系统 DLL 文件或者含有 恶意代码的 DLL文件注入到系统进程里，使得恶意代码能够 收稿日期 :2∞8 -09 -05;修回日期 :2∞8 -10 -25。 被执行。同时，由于修改了 DLL 文件中的信息，在 DLL 文件 中的函数执行后可以修改返回结果，从而达到隐藏自身的目 的。 2)应用程序接口挂接(A凹 HOOK) 。这类方法主要是通 过修改系统关键函数的地址来实现进程信息的隐藏，对能够 获取系统进程信息的函数的地址进行修改，在相应函数被调 用时，将跳转到修改后的函数地址，执行修改后的相应函数， 从而对函数返回信息进行过滤，实现进程信息的隐藏。比较 常见的就是