基于内核Rootkit恶意网页防护系统.docVIP

基于内核Rootkit恶意网页防护系统 　　摘 要：随着Internet的飞速发展，恶意网页已经成为影响网络安全的主要问题之一。Rootkit是一种基于Windows分层驱动模型的技术。介绍了一种基于Rootkit技术的恶意网页防护系统的设计，对恶意网页防护的研究具有一定的参考价值。?? 　　关键词：恶意网页；防护；Rootkit?? 　　中图分类号：TP393.08 文献标识码：A 文章编号：1672-7800（2011）10-0126-02?お? 　　?? 　　基金项目：海南省教育厅高等学校科学研究项目 (Hjkj2011-49)；海南软件职业技术学院科研项目(Hr200906)?? 　　作者简介：王成（1973-），男，湖南沅陵人，硕士，海南软件职业技术学院讲师，研究方向为模式识别。 　　 　　0 引言?? 　　 恶意网页指利用软件或系统操作平台等的安全漏洞，通过执行嵌入在网页内的Java Applet、JavaScript脚本语言程序、ActiveX控件等，以强行修改用户操作系统的注册表设置及系统实用配置程序，或非法控制系统资源盗取用户信息，或恶意删除硬盘文件、格式化硬盘为行为目标的非法恶意程序。?? 　　 为保护系统不受恶意网页侵害，一种方法是检测浏览器当前网页，对下载的网页内容进行扫描，自动检测网页内容。若发现恶意代码，则禁止访问该网页。检测网页内容的方法一般类似于病毒扫描的特征匹配方法。但是特征匹配方法一般只能对已知的恶意网页攻击有效，对未知的恶意攻击则无法判断。由于特征匹配法只简单地对网页内容进行串扫描，有时也会发生误判的情况。为躲避特征扫描，恶意网页代码可以代码混淆或加密技术，很容易躲避检测。?? 　　 恶意网页要达到破坏或入侵系统的目的，有3种可能：分别是下载文件、修改注册表、启动非法进程，如果对这些可能的操作进行监控，那么不论恶意网页如何加密或混淆代码，都会被检测到，从而向用户发出警告，达到系统保护的目的。?? 　　1 Rootkit?? 　　 Rootkit是能够持久或可靠地、无法检测地存在于计算机上的一组程序和代码。Windows Rootkit分为内核模式Rootkit和用户模式Rootkit。内核模式Rootkit工作在ring0级，具有最高的操作的权限；用户模式Rootkit工作在权用户态，权限较低。?? 　　 Windows Rootkit是基于Windows分层驱动模型的技术。分层驱动是指2个或更多的驱动程序，分别创建设备对象，并且形成一个由高到低的设备对象栈，这样可以将功能复杂的驱动程序分解成多个简单的驱动程序．当IRP请求被传送到设备栈的顶部时，可以由顶层的设备对象直接结束IRP请求或者传送到下层的设备对象。分层驱动程序对应多个驱动程序，每个驱动程序创建一个设备对象，然后设备对象将一层一层地挂载在其他设备对象之上。?? 　　2 基于内核Rootkit的防护系统?? 　　 当浏览器中打开网页时，如果该网页含有恶意代码，而用户浏览器安全级别较低，就会被用户机器的自动执行。恶意代码一般修改系统注册表或下载ActiveX控件。防护系统的设计思想是：在打开网页时先扫描网页内容，以特征匹配方式扫描其中是否含有恶意代码，若含有已知的恶意内容，则发出警告并阻止网页内容。?? 　　 但是特征匹配方法只能对已知的恶意网页攻击有效，通过代码混淆或加密技术，也很容易躲避检测。恶意网页最终要修改注册表或下载文件，这些操作都需要调用操作系统API函数，而操作系统API函数最终都要调用内核函数。为防止恶意代码被执行或恶意文件下载，设置基于Rootkit技术的内核监控模块，监控内核函数的调用。当网页调用相应的内核函数，则通知用户，基于用户的选择决定是否允许该次操作，如果用户认为该网页的操作是恶意操作，可将该网页加入恶意网页库中。?? 　　 防护系统分为两个模块，一个是随着IE浏览器启动的检测模块，一个是以系统驱动程序启动的内核监控模块，如图1所示。?? 　　 　　3 恶意网页检测子系统?? 　　 检测子系统以BHO动态链接库形式随IE启动。BHO(Browser Helper Object)是微软在1999年推出的作为浏览器对第三方程序员开放交互接口的业界标准。?? 　　 检测子系统首先在浏览器打开网页前抢先获取URL，判断地址是否为恶意地址，然后在浏览器下载获取网页内容后，扫描网页内容，如果含有恶意内容则阻止网页内容并向用户警告，其流程如图2所示。?? 　　 　　4 内核函数调用监控?? 　　 内核函数调用监控子系统运行在ring0级。内核API函数很多，为了防止恶意网页对系统的破坏或入侵，只需监控修改NtCreateProcess，NtCreateProcessE