Hook函数在进程操作中的应用

Hook(钩子)作为消息处理的程序段,它通过系统调用实现挂入系统。其能先于目的程序率先截获原本发往该地的消息,从而率先得到控制权。阐述了Hook函数在操作系统进程时的行为,分析了Hook函数的原理、目的、意义和实现方法,详细介绍了Hook函数的使用细节,揭示了它的使用技巧和作用,为通过它实现对系统的深层次操作提供了借鉴。     

嵌入式病毒传播原理和主动防御技术

依据嵌入式病毒的传播理论,结合Windows操作系统的系统调用机制,提出了一种基于Hook系统服务的嵌入式病毒防御系统.该系统以注册表和进程为主要监控点,结合访问控制规则,实时监控进程操作行为.实验表明:该系统不仅可以有效地防御已知病毒,还可以防御未知病毒.     

基于虚拟机IO序列与Markov模型的异常行为检测

为检测虚拟机内部的IO异常行为,及时发现已知和未知的虚拟机逃逸攻击,基于硬件辅助虚拟化技术,该文提出了一种基于虚拟机IO序列的异常检测方法,包括:提出了一种异步采集技术高效采集虚拟机IO序列;建立了虚拟机IO序列与虚拟机内部进程的映射关联关系,以细粒度描述虚拟机自身IO行为;提出了一种基于双层Hash表的虚拟机IO短序列生成算法,并采用Markov链模型检测异常虚拟机IO序列。在KVM(Kernel-based virtual machine)虚拟化环境下设计并实现原型系统VMDec(virtual machine detecting),通过实验评测了VMDec系统的功能和性能。实验结果表明:VMDec能有效检测出虚拟机内部基于IO的恶意攻击以及已知和未知的虚拟机逃逸攻击,且检测误报率和性能开销在可接受范围内。     

基于虚拟机的文件完整性监控系统

以虚拟化软件Xen为基础,设计实现基于虚拟机的文件完整性监控系统——FSGuard。被监控系统（DomU）运行在全虚拟化模式,无法感知底层VMM的存在。Xen实时监控文件操作相关的系统调用,对被监控系统透明。DomU中的用户态程序提供配置和管理的接口,管理员可对某个DomU进行配置,指定需保护文件的列表和访问控制策略。当DomU中的进程对关键文件进行操作时,Xen实时记录文件操作信息,并通过DomU中用户态程序进行反馈。     

基于特征分析Android恶意应用检测方法的研究

Android是目前广泛应用的移动操作系统,也是恶意软件首选的攻击目标。为了在恶意应用发布和攻击用户前将其分析、识别出来,文中提出了一种动态检测Android应用是否具有恶意行为的方法,该方法基于及其学习和对Android API调用和系统调用痕迹的特征提取,最终能够得到96%的检测率。     

一种基于传感器的Android应用行为分析技术

大多数针对恶意软件识别的研究都是基于应用程序接口(Application Program Interface,API)调用来实现的,但是目前基于API的研究大都没有考虑到设备的状态,设备状态能够直接体现程序运行的外部环境,这对分析应用的行为有着重要作用。本文提出一种基于传感器的应用行为识别技术,首先,通过传感器数据来判断设备实时状态;然后,结合API调用时序和图形用户界面(Graphic User Interface,GUI)首屏时序产生的多元时序数据,设计算法识别应用行为的恶意性;最后,设计实现包括静态打桩、动态行为监控和传感器实时状态采集的恶意行为分析原型系统,选取典型案例验证了本文提出方法的准确性,并通过黑盒测试验证了本文恶意应用识别方法的有效性。     

高可靠In-VM隐藏进程对抗检测方法

通过隐藏进程执行恶意代码是信息攻击的一种重要手段,目前虚拟化平台中In-VM隐藏进程检测方法还存在被绕过和相关数据被篡改的可能性,针对这一问题,提出了一种高可靠In-VM隐藏进程对抗检测方法.该方法利用In-VM模型,通过改进虚拟化内存保护机制保护隐藏进程检测代码及其相关内核数据,确保其不被恶意篡改;通过准确劫持系统调用函数,并结合交叉视图方法检测隐藏进程,确保隐藏进程的检测算法无法被绕过.实验选取并构建多种典型的Rootkit隐藏进程,结果表明,该方法可以检测各种Rootkit隐藏进程,其隐藏进程检测代码及其相关数据无法被恶意篡改,检测算法和内存保护机制无法被绕过,而且改进的虚拟化内存保护机制对系统的性能影响更小,方法的可靠性高,实用价值大.      

基于自适应攻击树的木马检测方法

本文研究并总结出木马攻击行为的规律,通过静态分析PE文件提取出程序运行时调用的API,用木马攻击中常见的危险系统调用序列来建模一个动态攻击树,将分析PE文件得到的API调用集合与建立的攻击树进行匹配,有效的区分木马文件和正常文件,并能根据检测结果对攻击树进行动态的调整,以不断提高攻击树对未知病毒的检测能力。     

基于自适应攻击树的木马检测方法

本文研究并总结出木马攻击行为的规律,通过静态分析PE文件提取出程序运行时调用的API,用木马攻击中常见的危险系统调用序列来建模一个动态攻击树,将分析PE文件得到的API调用集合与建立的攻击树进行匹配,有效的区分木马文件和正常文件,并能根据检测结果对攻击树进行动态的调整,以不断提高攻击树对未知病毒的检测能力。     

基于I/O受限进程识别的虚拟处理器调度机制

针对多核平台的虚拟化环境中客户机与虚拟机管理器(virtual machine monitor,VMM)之间语义缝隙造成客户机I/O性能下降的问题,提出了一种基于I/O受限进程识别的虚拟处理器(virtual CPU,vCPU)调度机制。该机制在客户机内部利用推断技术识别I/O受限进程,通过客户机与VMM的协作实现I/O事件与I/O受限进程的关联,利用保证客户机之间公平性的虚拟对称多核处理器(virtual symmetric multi-core processor,vSMP)Internal调度算法,优先调度与I/O事件关联的I/O受限进程所在的vCPU来桥接客户机与VMM之间的语义缝隙,提高拥有vSMP的客户机中I/O负载性能。测试结果表明,相比于KVM虚拟化环境的CFS调度机制,该机制可以在保证客户机CPU公平性的前提下,有效提升运行混合负载的vSMP客户机中I/O负载性能,同时只增加较小的客户机额外开销,可以应用在负载多样性和不可预测性的虚拟桌面和云计算环境中。     

基于语义API依赖图的恶意代码检测

传统的恶意代码动态分析方法大多基于序列挖掘和图匹配来进行恶意代码检测,序列挖掘易受系统调用注入的影响,图匹配受限于子图匹配的复杂性问题,并且此类方法并未考虑到样本的反检测行为,如反虚拟机.因此检测效果越来越差.本文设计并提出一种基于程序语义API依赖图的真机动态分析方法,在基于真机的沙箱中来提取恶意代码的API调用序列,从而不受反虚拟机检测的影响.本文的特征构建方法是基于广泛应用于信息理论领域的渐近均分性(AEP)概念,基于AEP可以提取出语义信息丰富的API序列,然后以关键API序列依赖图的典型路径来定义程序行为,以典型路径的平均对数分支因子来定义路径的相关性,利用平均对数分支因子和直方图bin方法来构建特征空间.最后采用集成学习算法-随机森林进行恶意代码分类.实验结果表明,本文所提出的方法可以有效分类恶意代码,精确度达到97.1%.     

支持多种虚拟化技术的进程非代理监控方法

为保障云环境中虚拟机应用的安全性与可用性,提出一种能够支持多种虚拟化技术的进程非代理监控方法及主动监控框架.本框架将进程监控点设在虚拟机监视器中,而不在其中安装任何代理,并且支持VMware,Xen和KVM三种虚拟化技术,实现了对客户操作系统(Guest OS)的隐藏进程检测和进程负载监控,保证虚拟机安全可靠地运行.从被监控虚拟机外部获取活动进程链、遍历线程获得进程列表,进而利用交叉视图技术可检测出隐藏进程;除开活动进程链,加上网络连接信息相关的另两条链表,从中定位到待监控进程,可获得进程负载状况.实验结果表明:本框架能有效地检测出系统中的隐藏进程,并且准确获取特定进程的负载信息.     

基于内网的安全综合审计监管系统设计

本文在分析内网安全审计相关技术的基础上,针对其存在的不足之处,深入研究了内网的行为安全审计和监管,提出了基于系统API替换的Windows内网安全审计和监管技术,将监控代码编译成一个DLL,再将该DLL注入到目标进程中,利用APIHook功能,通过替换系统API实现对内网行为的审计监管。在此基础上设计和实现了内网安全综合审计监管系统的进程监控、打印模块、主机性能监视模块。     

面向云平台的硬件辅助ROP检测方法

针对现有面向返回编程(return oriented programming,ROP)攻击检测方案难以满足云计算平台下要求部署灵活、可移植性强、检测透明的特点,该文提出一种基于硬件辅助的ROP攻击实时检测方法,利用Intel最后分支记录器(last branch record,LBR)可以记录客户虚拟机间接分支跳转信息的硬件特性,在虚拟机监视器中实现快速的ROP配件攻击链检测,使用虚拟机自省(virtual machine introspection,VMI)技术在特权域Dom0中完成间接分支跳转的合法性验证,达到保护客户虚拟机进程空间中共享链接库控制流完整性的目的。结果表明:该方法能有效地检测ROP攻击,引入的平均性能开销低于7%。     

Android恶意广告威胁分析与检测技术

Android第三方广告框架应用广泛,但Android系统漏洞和Android第三方广告框架的逻辑缺陷严重威胁着Android市场安全。攻击者可以通过恶意广告获取敏感数据、触发敏感操作,甚至是以应用程序的权限执行任意代码。该文总结了4种Android恶意广告攻击方式,并针对这4种方式设计了一种基于后向切片算法和静态污点分析的Android第三方广告框架静态测量方法,以及一种基于API Hook和靶向API Trace的Android恶意广告敏感行为动态检测方法。基于以上研究,该文设计并实现了Android恶意广告威胁分析与检测系统,通过实例证明该系统能够有效地分析Android第三方广告框架可能存在的安全隐患,并能够动态检测Android恶意广告的敏感行为。     

云计算环境下的虚拟机可信度量模型

为了解决云计算环境下虚拟机可信度量方法存在的并发性和安全性问题,提出了一种树形可信度量模型.根据云计算环境的特点将度量过程分离,一方面采用基于完整性的方式来度量管理域的可信性,另一方面采用基于系统行为的方式来度量用户域的可信性,解决了传统度量模型难以并发度量的问题,提高了度量模型的可扩展性.结合系统调用截获和虚拟机内省技术,实现了可信度量原型系统,并通过实验评测系统的有效性和相关性能.实验结果表明,树形可信度量模型能够有效验证虚拟机的可信度.     

基于进程和文件行为的主机安全态势评估模型

针对日益复杂的桌面操作系统和主机应用,建立了一个基于主机内核行为的安全态势评估模型.模型以系统调用(Native API)为数据源,分析了进程行为和文件行为,提出了一套用于评价主机安全状态的指标体系.首先通过计算进程异常度得到单个进程的安全态势;然后参照指标体系对文件分级并得到文件行为的安全评价;最后将两者关联,形成文件安全态势.实验表明,该方法能有效地反映主机安全态势.     

基于BHO技术的恶意网页行为检测方法

Internet的发展促使互联网上出现了大量的恶意网页.现今基于行为的恶意网页检测方法都是建立在蜜罐或沙箱技术之上,这些方法一次只能检测一个网页,在检测效率和检测准确率上都很低.就此提出了基于BHO技术的恶意网页行为检测方法,该方法利用BHO技术可以获知IE浏览器的各个事件,同时通过在BHO中对IE进程进行Api钩子安...     

基于Windows Native API序列的异常检测模型

针对Windows操作系统受到的越来越多的严重攻击，提出一种基于Native API序列的多步一致模型和指数迭代检测算法，实现了从内核空间检测Windows操作系统中的异常入侵．通过设计内核虚拟设备来截获系统服务分配表，从而可实时地获取Native API信息．用被截获的正常Native API数据建立一步和二步一致模型，并以此描述进程的正常行为．在检测过程中，通过指数迭代检测算法，可对不断出现的Native API的正常指数进行度量．采用报警提取算法对正常指数进行分析可惟一地确定对应的攻击，为管理员及时掌握系统的安全状况提供了保证．在不同的Windows操作系统环境下的实验结果表明，该方法有较好的检测精度．     

基于钩子的计算机监控程序的实现

在许多场合下,需要跟踪用户的操作信息,基于此目的,这篇文章阐述了一个基于钩子函数的监控系统。它能够记录用户的键盘输入并且将它保存到文件。同时,它能够把用户操作时当前活动窗口的标题和运行程序的时间记录到文件里。它主要使用了键盘钩子,键盘钩子被放入动态链接库中,属于全局钩子,负责记录键盘信息。