即时启动监视器之实作研究Study on Implementation of A Real-time.PDF

即時啟動監視器之實作研究 Study on Implementation of A Real-time Startup Monitor （一）研究背景及目的 1.目標 本計畫目標在實作一個即時啟動監視器(Real-time Startup Monitor) 。任何程式一更動登錄執行 鍵值(Registry Run Key)將自己設定為開機啟動程式，啟動監視器便立即察覺發出警訊通知，該警 示訊息包括路徑、描述及開發公司等程式相關資料。如果警訊視窗出現時，使用者並未在安裝該 程式，就可判斷是被惡意程式入侵；此時使用者點選「否」按鈕，讓啟動監視器取消這項異動， 即可避免被惡意程式盤據電腦系統。 圖 1為在安裝Avira 公司防毒軟體Antivirus時出現的警訊視窗，使用者確認這是他正在安裝 的產品，所以放心點選「是 」按鈕，允許該程式隨開機而啟動。相對地，圖2的警訊視窗出現時， 使用者未在安裝該程式，並且無程式描述及開發公司資料，就可直覺判斷被惡意程式入侵，點選 「否」按鈕，讓啟動監視器取消此項異動，避免該惡意程式隨開機而啟動。 圖 1: 在安裝 Avira 公司防毒軟體Antivirus時出現的警訊視窗 圖 2:惡意程式入侵電腦並設定本身為開機啟動程式時出現的警訊視窗 2.目的 即時啟動監視器的設計目的在作為入侵防禦系統 (Intrusion Protection System, IPS)的輔助工 具。對於惡意程式入侵電腦後常用的破壞手法，如將本身程式以直接新增或間接更新登錄執行鍵 值方式，來設定為開機啟動程式項目，啟動監視器皆能即時阻擋來保護系統安全。 惡意程式泛指具有惡意企圖，伺機入侵破壞電腦或竊取資料的程式，包括病毒、木馬、間諜 程式等等。惡意程式利用自動化工具容易變形變種，令依靠病毒碼做辨識的防毒軟體，即時 防護 上常見力有所未逮。所以研發能夠正確辨識惡意行為的資安產品，來即時防衛惡意程式的入侵破 壞，確保電腦安全及隱私資料，實在是非常迫切與重要的議題。 即時啟動監視器製作的另一個目的在提供 IT管理人員作為系統管理程式設計的參考案例。本 研究計畫完成後，將公開完整的程式碼，並且以專文來討論設計理念及實作細節。即時啟動監視 器也供免費下載使用，為資訊安全及資安教育盡一份 IT 人的心力。 3. 比較 目前資訊專業人員使用的系統管理工具，主要為 Mark Russinovich開發的 Sysinternals 套件， 下載網址是 /en-us/sysinternals/default.aspx 。其中的AutoRuns程式可以 顯示有那些程式會在開機後自動啟動， RegMon 程式則監視登錄檔被異動的情形。這兩個程式適 合專業人員用來檢測電腦系統有無被入侵，但並不適合一般人使用。對眾多的一般電腦使用者而 言，具備警訊明確，介面簡單，可以直覺操作又能即時防護等等特色的產品，就是他們最需要的 資安防護產品。 底下以表 1 列出此三項工具在適用性、主動性及偵測度項目上的比較： 表1. 三項工具特性比較 AUTORUNS REGMON 即時啟動監視器 適用 專業用語多，一般人員不易 列出的登錄檔異動資料繁 警訊明確，介面簡單，適合 人員 理解。 多，適合專業人員作分析。 一般人員直覺操作。 主動 不會提出開機啟動設定被 不會提出警訊，但會列出 只要登錄執行鍵值一被異 警訊 異動的警訊。 所有的登錄檔異動資料。 動，即刻主動提出警訊。 偵測 偵測每一處開機啟動的設 針對程式對登錄檔的任何 只偵測程式對登錄執行鍵值 範圍 定資料。 異動，皆作偵測。 的異動。 （二）研究 方法及步驟 1.研究方法 為了要達成對登錄執行鍵值(以下簡稱RUN Key)做即時異動監控的目標，啟動監視器設計上考 量採用那種資源，可以存取登錄鍵值同時又具備事件觸發立即處理機制。經研究試用，發現微軟視 窗作業系統內建的 WMI資源可以滿足上述需求。 WMI