基于apc和systecmcall替换的进程行为监控系统的研究与实现-通信与信息系统专业论文.docxVIP

基于APC和SystemCall替换的 基于APC和SystemCall替换的 进程行为监控系统的研究和实现 摘要 目前针对Windows操作系统的进程行为监控的研究较少，已存在 的工具比较简单，相关技术并未完全公开，因此这些监控技术很容易 被当前存在的反调试技术或软件发现，如加入代码加密和反调试功能 的程序，通过常用的调试器进行直接调试分析已经无法进行，常用的 进程监控分析工具或API调用监控工具也无法使用，必须要通过前期 的脱壳过程，才能进行调试分析，或者是把已存在的监控工具进行隐 藏，才能进行程序的分析。然而，脱壳或隐藏过程需要大量的时间， 因为程序的加密强度可能很大，对监控程序的检测点也非常之多，想 短期内对目标程序进行整体的分析非常困难，而目前病毒、木马大量 泛滥，分析工作越来越难，传统的分析技术已经落后。通过对Windows 操作系统内核大量的逆向工程，深入研究Windows内核的内存管理的 基本原理和实现过程，以及系统创建进程的基本过程，从而发现了一 种基于APC和SystemCall替换的全新的进程行为监控手段，即先创 建处于挂起状态的目标进程，通过内核驱动程序修改目标进程的某些 关键内核数据结构，再利用APC向挂起进程插入监控模块，监控模块 在目标进程空间修改关键系统函数指针SystemCall，从而可以监控 所有的Native API调用，从而实现了一种全新的进程行为监控系统。 该实现方案不需要对系统进行全局挂钩，只修改目标进程的内存空 间，因此只影响单个进程，对操作系统的其他进程没有任何影响，有 较高的运行效率；由于使用APC技术可以在进程刚被创建但开始运行 较高的运行效率；由于使用APC技术可以在进程刚被创建但开始运行 之前便修改了相应的数据结构，从而可以对进程从运行到死亡的整个 过程进行完整的监控；由于监控点是在用户态创建的，并且修改的关 键系统指针SystemCall只有经过特殊内核处理以后才可以修改，从 而很少会与其它主流监控技术或软件冲突，并可以很好地与杀毒软 件、主动防御软件这类安全防护软件兼容；由于创建的监控点所处的 位置非常底层，所有的Native API调用都可以截获，再加上监控系 统主要运行在用户态，因此可以很方便地进行功能扩展，从而可以实 现对目标进程文件操作的监控，注册表操作的监控，进程操作的监控， 内核驱动通信的监控等。 关键词Windows内核，APC，SytemCall，进程监控，Native API， 进程行为 THE THE RESEARCH AND IMPLEMENTATION oF THE PROCESS BEHAVIOR MoNITOlUNG SYSTEM BASED ON APC AND SystemC all Hook ABSTRACT Now the research about process behavior monitoring on Windows Platform is very little，and corresponding tool is not very strong， technology is not fully documented，SO it could be detected easily by anti-debug technology or software，such as programs which are encrypt ed or injected with anti—debug code．It’S impossible to debug or analysis these programs directly through normal debuggers or API call monitors． Normally,it has to unpack these programs and hide debuggers or monitors，but the unpacking or hiding progresss is time and energy consuming．Now the virus and Troj an become large and large and analysis progress become very difficult，the traditional analysis technology has been fall behind．Through much reverse engineering and researching on Windows kemel about memory management and process management，I found a n