学位论文 > 优秀研究生学位论文题录展示

盗号木马攻击与防范技术的研究实施

作 者: 任广明
导 师: 史清华
学 校: 山东大学
专 业: 计算机应用技术
关键词: 盗号木马 注册表 API函数 挂钩API
分类号: TP393.08
类 型: 硕士论文
年 份: 2011年
下 载: 126次
引 用: 1次
阅 读: 论文下载
 

内容摘要


随着互联网技术的发展和普及,人们的生活越来越离不开网络。但网络生活在给人们带来便利的同时,也带来了安全方面的一些威胁,比如网游帐号被盗、QQ号码被盗、甚至网银帐号被盗,而这些针对帐号的安全威胁都来自于木马,特别是盗号木马。木马与病毒有着很大的差异,病毒侧重于传播和破坏,而木马则侧重于隐蔽性和对用户数据的窃取。传统的反病毒技术主要是基于特征码的提取和对比,因此对于变种的或新型的木马一般难以检测和清除,进而造成巨大的损失,检测木马必须要有新的思路。因此对木马技术的研究已成为信息安全领域的一个热点,而如何防范木马特别是盗号木马也是迫在眉睫。本文从研究层面上和技术层面上对木马,特别是盗号木马进行了系统的研究,主要工作为:1、从研究层面上系统地分析了木马的工作原理、分类、发展历程、植入方式和发展趋势;从技术层面上系统地分析了木马的隐蔽性、自启动性、自动恢复性、主动性、功能特殊性和通信功能。2、结合两个盗号木马的实现原理,给出了现有的查杀方法。传统的根据特征码检测查杀木马总是先有木马出现,造成一定破坏后才有杀毒软件能够查杀,因此这种方法缺陷很大。3、改进了传统监控程序的监控方法,并对主要模块进行了实现。根据盗号木马的特点,提出了从注册表监控、基于进程的特定API监控和文件监控三个方面同时入手,通过阻止其自启动、阻止其有盗号动作产生和阻止其产生文件三方面,彻底杜绝了木马盗号的可能性。特别是通过对关键API的监控,可以发现大多数未知木马的攻击。通过测试证明,该方法和传统的监控方法比较,具有效率高、通用性好,且误报率低的特点。4、监控模块提供了开放的规则库,人们可以任意指定要监控的文件和其拥有的进程,真正做到了有的放矢的防御,可有效地阻止盗号木马对敏感文件的攻击,弥补了大多数异常检测系统由于对行为监控的不确定性而造成漏报的缺陷,并且由于监控有具体的目标,相对于现有的行为监控软件而言,只占用了少数的系统资源,对计算机的运行速度影响很小。因为规则库是开放的,所以规则库的制定比较灵活,也较容易升级和维护,缺点是对一般用户而言有一定的难度,设定规则库需要其具备一定的计算机知识。5、提出了手动查杀智能升级的方案。任何防木马软件也不是万能的,对于不能系统查杀的木马,通过手动方式查杀后可智能添加到规则库,再碰到此类木马就可系统查杀。

全文目录


摘要  8-10
ABSTRACT  10-12
第一章 引言  12-15
  1.1 选题的意义  13-14
  1.2 本文的主要工作  14-15
第二章 木马病毒的起源及现状  15-31
  2.1 木马的概念  15-16
    2.1.1 木马和病毒的联系及区别  15-16
    2.1.2 木马和远程控制软件的联系及区别  16
  2.2 木马的工作原理及发展历程  16-23
    2.2.1 木马的工作原理  16-17
    2.2.2 木马的分类  17-19
    2.2.3 木马的发展历程  19-20
    2.2.4 木马的植入方式  20-22
    2.2.5 木马的发展趋势  22-23
  2.3 木马的基本特性及其实现技术  23-31
    2.3.1 木马的隐蔽性及技术实现  23-25
    2.3.2 木马的自启动及技术实现  25-27
    2.3.3 木马的自动恢复性  27-28
    2.3.4 木马的主动性  28
    2.3.5 木马的功能特殊性  28
    2.3.6 木马的通信及技术实现  28-31
第三章 盗号木马实例分析  31-35
  3.1 "QQ幽灵"木马  31-33
  3.2 "QQ密码终结者"木马  33-35
第四章 盗号木马防范系统设计  35-65
  4.1 注册表的使用  35-40
    4.1.1 注册表的结构  35-36
    4.1.2 管理注册表  36-40
  4.2 挂钩API技术(HOOK API)  40-47
    4.2.1 实现原理  40-41
    4.2.2 使用钩子注入DLL  41
    4.2.3 HOOK过程  41-47
  4.3 盗号木马防范系统设计思路和实施  47-65
    4.3.1 注册表监控  47-53
    4.3.2 基于进程的特定API监控  53-58
    4.3.3 文件监控  58-64
    4.3.4 手动查杀智能升级  64-65
第五章 盗号木马防范系统的测试验证  65-73
  5.1 测试验证的目的  65
  5.2 测试验证展示  65-73
    5.2.1 注册表监控测试  65-68
    5.2.2 基于进程的特定API监控测试  68-69
    5.2.3 文件监控测试  69-71
    5.2.4 测试总结  71-73
第六章 结束语  73-74
参考文献  74-76
致谢  76-77
攻读学位期间发表的学术论文  77-78
学位论文评阅及答辩情况表  78

相似论文

  1. 用于ATM平台的主机入侵防御系统的设计与实现,TP393.08
  2. 面向抗攻击测试的主机系统完整性检测方法研究,TP393.08
  3. 检察机关电子取证系统的设计与实现,TP399-C2
  4. 一种WINDOWS安全加固技术的研究与实现,TP316.7
  5. 基于企业内部网络的监控系统研究,TP393.07
  6. 基于日志的网络安全审计系统的设计与实现,TP393.08
  7. 智能网络家电遥控监控系统的设计与实现,TP277
  8. 主机入侵防御系统的研究,TP393.08
  9. 基于Flexsim系统仿真的轻型客车装配线平衡研究,U468.22
  10. 主机主动入侵防御系统的研究与实现,TP393.08
  11. 基于数据完整性和访问控制的计算机安全方案,TP393.08
  12. 基于富文本格式的剪贴板的实现,TP311.52
  13. 短波组网及其相关技术,TN925
  14. 变频调速器与计算机通信的研究,TP311.52
  15. 基于主机的主动入侵防御系统的研究与实现,TP393.08
  16. 智能热量表“一表一参”测试平台的研制,TH81
  17. 一种分布式入侵检测系统的研究与设计,TP393.08
  18. 基于数据挖掘技术的病毒主动防御系统,TP393.08
  19. 计算机控制短消息的接收与发送,TN929.5
  20. WINCE.NET系统下USB总线客户端设备驱动程序的研究与开发,TP311.11

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com