基于内存完整性的木马检测技术研究

作     者：齐琪 

作者单位：华中科技大学 

学位级别：硕士

导师姓名：周敬利

授予年度：2006年

学科分类：0839[工学-网络空间安全] 08[工学] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

主      题：Windows木马 检测技术 内存完整性 输入地址表 

摘      要：随着黑客技术的不断发展,Windows木马以其攻击范围广,隐蔽性强,危害大等特点成为常见的网络危害之一。基于对近年来流行的Windows木马挂钩隐藏方式的分析,改进了基于内存完整性的检测方法,以有效地检测利用各种挂钩技术的Windows木马,同时也介绍了Windows内核级木马的各种重要检测技术。 内存完整性的检测方法,就是在程序运行过程中,通过对内存各个重要区域进行完整性检测,查出可能存在的异常现象,从而判断系统中是否存在木马的方法。现有的内存检测方法中,多是通过检测代码区块的完整性来判断木马的存在,它无法检测到改变内存其它区域的木马。根据内存检测原理,设计一个检测程序,它通过四个检测模块对内存进行完整性检测,它们分别是输入地址表检测,系统服务地址表检测,系统服务描述表检测和活动进程链表完整性检测。 输入地址表的检测方式是基于PE(Portable Executable)文件格式的检测方式。在输入地址表的检测方式中,通过比较输入地址表和输入函数表中的函数地址,来判断是否存在木马挂钩函数。系统服务地址表检测是基于内存与文件中内容是否一致的检测,系统服务表装载入内存以后与文件中的内容只相差了一个偏移,通过对偏移量的计算,便可达到最后比较的目的。 在程序中,对于这两种方法进行了具体的可行性检测和实验,并检测出基于挂钩函数的木马病毒He4HOOK,可以弥补现今内核级木马检测工具(如icesword)的不足。