第1章 绪论 1
1.1背景及意义 1
1.2木马的检测与防护 3
1.2.1特种木马的基本特征 4
1.2.2特种木马隐藏技术 5
1.2.3特种木马的免杀 8
1.2.4木马检测与防护的技术要求 9
1.2.5特种木马的关键行为特征 10
1.3国内外研究情况 12
1.3.1摆渡木马植入技术研究(1990~2001年) 12
1.3.2摆渡木马隐藏技术研究(2005~2010年) 13
1.3.3摆渡木马分析技术研究(2011年至今) 14
1.4主流木马检测技术 15
1.4.1特征码检测技术 15
1.4.2基于文件静态特征的检测技术 17
1.4.3文件完整性检测技术 19
1.4.4虚拟机检测技术 21
1.4.5行为分析技术 22
1.4.6入侵检测技术 23
1.4.7云安全技术 26
1.5本章小结 27
第2章 特种木马技术的基本原理 28
2.1 U盘摆渡木马特征分析 28
2.1.1摆渡执行过程 29
2.1.2文件搜索 34
2.1.3写入U盘等移动介质 34
2.1.4发送被窃取文件 36
2.1.5启动方式的隐藏 36
2.2 DLL型摆渡木马的设计原理 39
2.2.1 DLL基础知识 39
2.2.2整体设计框架 42
2.3 DLL木马生命周期简介 43
2.3.1木马注入 44
2.3.2劫持系统DLL 45
2.3.3木马隐藏 47
2.3.4 DLL木马免杀策略 54
2.3.5 DLL木马自毁策略 58
2.4仿真实验分析 59
2.4.1环境介绍 60
2.4.2流程介绍与分析 61
2.4.3实验结果分析 65
2.5本章小结 66
第3章 PE类型木马技术原理 67
3.1 PE文件结构 67
3.1.1 DOS MZ Header 68
3.1.2 PE Header 68
3.1.3 Optional Header 69
3.1.4节表和节 70
3.2 PE病毒原理研究 71
3.2.1重定位技术 72
3.2.2获取API技术 73
3.2.3搜索感染目标技术 74
3.2.4内存映射 74
3.2.5感染PE文件技术 75
3.3 PE病毒采用的高级技术 77
3.3.1加密技术 77
3.3.2多态技术 77
3.3.3变形技术 77
3.4虚拟化技术应对病毒自修改代码 78
3.5 Windows文件系统过滤驱动 80
3.6实验分析与验证 90
3.7本章小结 93
第4章 摆渡木马主动防御框架 94
4.1摆渡木马主动防御框架 94
4.1.1设计目标 94
4.1.2设计思想 94
4.1.3主动防御框架 97
4.1.4监控模块设计 101
4.2行为捕获技术和行为特征 102
4.2.1 Windows API钩子技术 104
4.2.2木马的不可精确判定性 105
4.2.3朴素贝叶斯分类算法 106
4.3环境检测 109
4.4木马检测评判标准 111
4.4.1测试指标 112
4.4.2 ROC曲线 112
4.5实验与分析 114
4.5.1实验目的与环境 114
4.5.2训练集与测试集 115
4.5.3实验结果与分析 115
4.6本章小结 117
第5章 检测与清除模块设计 118
5.1功能描述 118
5.2逻辑流程 120
5.3文件扫描与检测技术 123
5.3.1 PE文件扫描与检测 123
5.3.2压缩文件检测与扫描 124
5.3.3其他类型文件的检测与扫描 126
5.4文件隔离与删除技术 127
5.5恶意文档检测与删除技术 129
第6章 特种木马防护模块设计 133
6.1功能描述 133
6.2逻辑流程 134
6.3动态防御注册表驱动过滤 135
6.4动态防御文件驱动过滤 142
6.5动态防御网络协议驱动过滤 146
6.5.1 TDI过滤简述 146
6.5.2具体过程 148
6.6动态防御进程驱动过滤 151
第7章 特种木马特征库设计 154
7.1模块描述 154
7.1.1植入阶段的行为特征分析 155
7.1.2安装阶段的行为特征分析 155
7.1.3运行阶段的行为特征分析(文件访问、回联) 156
7.1.4通信阶段的行为特征分析 157
7.2特征库组成 157
7.3特征库加载 162
7.4自定义特征库 164
7.5行为规则库 166
第8章 系统演示和总结 168
8.1功能描述 168
8.2系统操作描述 168
附录 示例代码 177
1-1探测有移动存储介质接入系统 177
1-2 DLL木马注入演示示例 178
1-3 Toolhelp API枚举系统进程 182
1-4 PSAPI枚举进程信息 183
1-5隐藏模块的方法 185
1-6自删除示例代码 187
参考文献 189