手工DLL注入的检测方法研究与实现.pdf

信息安全研究 Journal of Information Security Research V〇1.3 N〇.3 M a 「. 2017 手工DLL 注入的检测方法研究与实现 陈 庄 1 王津梁 1 张 鞮 2 H 重庆理工大学计算机科学与工程学院重庆400054) 2 (重庆邮电大学软件工程学院重庆400065) (cz@ cqut .edu .cn) Research and Implementation of Detection Method of Manual DLL Injection Chen Zhuang1， W ang Jinliang1， and Zhang T i 2 1 (School o f Computer Science and Engineering , Chongqing University o f Technology , Chongqing 400054) 2 (School o f Softw are Engineering , Chongqing University o f Posts and Telecommunications, Chongqing 400065) Abstract W ith the development of com pute system and netw ork technology , the technology of malicious code detection is facing new challenges , “ D L L injection ” is a common means of using malicious code to infect normal executable files . B ased on the in-depth understanding of the basic structure of P E file s ? this pape studies a technique fo implementing D L L injection by manually modifying P E file , and proposes a method to detect the malicious injected D L L in the P E file . The method proposed has positive significance fo research of D L L injection and detection . Key words m alicious code ； D L L injection ； P E file ； p ro cess ； detection technology 摘 要 由于恶意代码的隐藏和生存能力随着计算机系统和网络技术的发展不断提高，对恶意代码 的检测技术面临着新的技术挑战，而“D L L 注入”是一种常见的使用恶意代码感染正常可执行文件 的手段.在深入理解了 P E 文件结构的基础之上，研究了一种通过手工修改 P E 文件来实现 D L L 注 入的技术，并提出了一种检测 P E 文件中被恶意注入 D L L 的方法.该方法的提出对D L L 注入和检测 方法的研究具有积极意义. 关 键 词 恶意代码;D L L 注入;P E 文件;进程;检测技术 中图法分类号T P 309.5 恶意代码作者为了实现恶意代码的“隐藏”运 “ D L L 注人”技术常见的实现方法有远程线程技 行和防止被反病毒软件检测到，常常会使用“ d l l 术、W indow s挂钩技术和修改注册表等[1]. 注人”技术将 D L L 加载到正常的进程中，以执行 目前，使用了基于行为检测技术的主动防御 D L L 中的恶意代码.在W in d o w s 系统环境下， 技术反病毒软件对使用上述几种技术的恶意代码 收稿日期：2017-01 - 12 通信作者 :王津梁 (547432461@qq. com) 2 4 6 丨