- 1、本文档共6页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
首届全国大学生信息安全竞赛参赛作品·1·
NetDefender网页恶意代码防御系统
1.设计背景与需求分析
随着近几年网络的飞速发展,互联网在人们的日常生活中扮演了越来越重要的作用。电子商务等互联网新
应用已经被越来越多的人接受和采用。因此,网络安全问题就显得愈发重要,网络安全已经直接关系到人们的
财产和生活。在各种网络入侵中,网页木马因其工作量小、波及范围广的特点,已经成为最主要的木马传播途
径。从各大网站的漏洞列表就可以看出,基于浏览器及其第三方插件的溢出漏洞已成为当前漏洞挖掘领域的主
要研究方向。而纵观当前网络安全市场,还没有一款比较成功的专门处理网页木马的安全工具,因此,我们开
发了NetDefender网页恶意代码防御系统,为用户的安全上网提供一份保障。
2.关键技术
本系统由进程监控程序和HTML插件构成,两部分之间形成互补。
进程监控主要运用了inlineHook技术。通过挂钩CreateProcessInternalW函数实现对新进程创建的监控。
使用inlineHook可以实现挂钩指定进程的CreateProcessInternalW函数,从而避免了对全局进程创建的拦截,
避免了频繁的提示给用户造成的干扰。
HTML代码过滤插件主要应用了微软的可插入协议扩展(AsynchronousPluggableProtocols)技术,通过在
系统中注册一个“text/html”类型的MIMEFilter来实现对HTML代码的全文过滤。
两部分的具体实现过程可参见“系统设计”的相关内容。
3.系统设计
3.1进程监控部分
3.1.1网页木马执行原理分析
网页木马从触发方式上可分两类,一类基于缓冲区溢出漏洞,另一类基于系统设计上的一些缺陷。前者又
主要包括IE自身的溢出漏洞(如MS07004矢量标记语言缓冲区溢出漏洞等)和浏览器第三方插件的溢出漏洞
(如迅雷ActiveX控件远程代码执行漏洞等)。这类漏洞利用缓冲区溢出执行一段具有攻击性的代码(shellcode),
从而获得系统的控制权。在实际情况下,受溢出空间大小的限制,shellcode一般不可能实现太多的功能,因此
几乎所有的网页木马都选择了具有“下载并执行”(DownloadandExecute)功能的shellcode,通过下载一个功
能更为强大的木马来实现对系统的控制。此类网页木马的执行过程总结如下:
·2·首届全国大学生信息安全竞赛参赛作品
而基于系统设计缺陷的网页木马相对少见,比较有代表性的有近期被公布的MicrosoftAccess快照查看器
ActiveX控件任意文件下载漏洞(MS08-041),此类漏洞并不触发缓冲区溢出,而是利用相关函数对参数过滤不
严,通过提交特殊参数,达到下载执行木马的目的。这类网页木马执行过程为:
从对上述两种木马启动的分析中可以看出,二者都有一个下载和执行程序的过程。而由进程创建原理可知,
新建进程的父进程都是浏览器。基于这点,如果能够对浏览器创建进程的动作进行监视,便可在木马执行初期
进行干预,达到阻止有害程序运行的目的。
3.1.2基于进程监控的解决方案
Windows系统下进程创建的一般流程如下:
由图示可见,无论显式使用哪个函数创建进程,最终都要调用CreateProcessInternalW函数,那么可以HOOK
此函数,在其调用时通过分析参数判断正在创建的进程是否存在威胁,从而采取相应的处理方式。
在实际操作中,本文选择了InlineHook方式,修改CreateProcessInternalW函数前10个字节,使函数执行
首届全国大学生信息安全竞赛参赛作品·3·
时先跳转到自定义的函数之中,将创建中的进程的完整路径传递给主程序,通过用户的选择决定是继续创建进
程还是终止。
程序中定义了SetHook函数安装Hook函数,其原形如下:
intSetHook(DWORDdwPid,LPCTSTRlpApiName,LPCTSTR
您可能关注的文档
- 机电安装工程技术.pdf
- 工资管理系统C 编程实验报告.pdf
- 大学物理测试题 (12).pdf
- 史学导论11972_原创文档.pdf
- 世界经济与政治.pdf
- 《单位工程施工组织设计》课程设计任务书.pdf
- 《Java Web开发技术》教学大纲.pdf
- TDM、PDH与SDH、MSTP的区别分析.pdf
- RGB控制方案_原创文档.pdf
- LCD驱动概要_原创文档.pdf
- 2022年山东烟草招聘考试真题.pdf
- 2024年二级造价工程师《安装工程》试题及答案(卷4).pdf
- 5礼泉县考核办理论知识测试题.pdf
- 2024社工(初级)《社会工作实务(初级)》真题精选(含答案).pdf
- 2024年中考英语作文热点预测及优秀范文.pdf
- 2024届广东省广州市高三一模语文试卷(含答案).pdf
- 2022年-2023年房地产经纪协理之房地产经纪操作实务模考模拟试题(全优).pdf
- 2024届云南广西贵州省高三“3+3+3”高考备考诊断性联考英语试题二(原卷版+解析版).pdf
- 2023年煤矿培训总结5篇.pdf
- 2022年小学五级学科素养竞赛试题奥赛题及答案50题(学习).pdf
文档评论(0)