Windows下基于挂钩技术的数据标注.doc

  1. 1、本文档共26页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
 Windows 下基于挂钩技术的数据标注 王丽艳1,张志斌2** (1. 北京邮电大学计算机学院,北京 100876; 5 10 15 20 25 30 35 40 2. 中国科学技术研究院网络安全实验室,北京 100190) 摘要:清晰标注网络数据对研究和实际工程都有很重要的意义,现阶段的研究主要是采用人 工模拟和 DPI 分析。人工模拟引入人为因素,受到实验环境影响,可能掩盖网络数据本身的 特点;DPI 不能发现“新”网络应用数据,并且对于加密数据流无法分析;两种方法都不能 全面准确的标注实际网络数据。通过研究 Windows 下应用程序调用 API 的过程,本文提出利 用挂钩接管 Windows 部分系统网络函数的方法来标注网络数据。本文介绍设计了 Hook API 系统以实现应用程序的数据标注。该系统包含 Hook Server 与 Hook Driver 两部分:Hook Server 负责将 Hook Driver 注入到进程地址空间中,主要使用了远程线程等技术;Hook Driver 负责挂钩系统函数,完成接管控制函数的任务。实验部分详述了如何使用 Hook API 系统标注网络数据。为了验证由 Hook API 得到的网络数据完整性与准确性,使用 Wireshark 捕获过滤数据,通过对比发现,Hook API 标注的到的数据更为完备,实验证明本文提出的 方法能够达准确完备的标注应用程序的网络数据。 关键词:windows API;DPI;进程数据标注;Hook Server;Hook Driver 中图分类号:TP393.0 Data Identify in Programs of Windows by Hooking WANG Liyan1, Zhang Zhibin2 (1. BeiJing University of Post and Teconology, Beijing 100876; 2. Research Center of Information Security,Institute of Computing Technology,Chinese Academy of Sciences, Beijing 100190) Abstract: In this paper a method which used to match network data to the right application process was proposed.There were two main ways to biuld reference data.Firstly, reference data can be achieved by simulation. All the data which were produced by the specified process running at a fixed time peroid and fixed computers were assigned to this specified peocess. Simulation can lead to data useless because it brought about peoples influences. Secondly, DPI can analyze network data and attatch them with the application name label which were keeped in signature database. However, DPI doesnot work when it is unware of signatures of new applicaations or the network data which had been encrypted. In this paper, we find it is available to identify network data by hooking and controling some system functions. API Hook system was composed of Hook Server and Hook Driver. Hook Server copied Hook Driver into address space of the process. Hook driver hooked and controled the system functions.The reserch shows that this method can identy the netwo

文档评论(0)

baihuamei + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档