基于NDIS中间层的木马防护机制研究及实现
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
a 叶技2 0 1 3 年 第 2 6 卷 第 5 期
El e c t r o ni c Sc i .& Te c h . /M a y .1 5. 2 01 3
基于 N DI S 中 间 层 的 木 马 防 护 机 制 研 究 及 实 现
洪双喜 ,雷
摘 要
涛
4 5 0 0 1 1 )
随着社会信 息化 以及信息 网络化的迅速发展 , 网 络安 全 问题 1 3益 突 出且 越 来 越 复 杂 , 已经 成 为 亟 待解
决 的问题 , 并 引起 各 方 的关 注 。 目前 以木 马 病 毒 对 网 络 系统信 息进 行 的窃取 、 篡改 行 为最 为突 出 , 这对 网络 用户 的信 息 安全 构 成 了 巨大 威 胁 。与 此 同时 , 各 种 病 毒程 序 , 尤 其 是 木 马 程 序 通 过 计 算 机 网络 渗 透 到 P C 机中, 窃取秘密信息 , 给 信 息 系统 或个 人 带 来 严 重 威 胁 。比较 有 名 的 杀 毒 软 件 如 3 6 0 、 瑞 星 等 杀 毒 软 件 可 以对计算 机 起到 良好 的 保 护作 用 , 但 对 已经 潜 入 计 算
HONG S h u a n g x i ,L EI Ta o
( S c h o o l o f I n f o r m a t i o n E n g i n e e r i n g ,N o a h C h i n a U n i v e r s i t y o f Wa t e r C o n s e r v a n c y
t e c t i o n me c h a n i s m i n k e r n e l l e v e l b a s e d o n NDI S i n t e m e r d i a t e d iv r e r t e c h n i q u e o n t h e wi n d o ws p l a t f o m r i s p u t f o r wa r d .
n i c a t i o n s ,i t i s o b v i o u s l y s u p e i r o r t o t h e s i mi l r a f u n c t i o n l a nt a i - T mj a n s o f t w a r e i n t h e d a t a p a c k e t p r o c e s s i n g s p e e d .
I P a d d r e s s a n d p o r t n u m b e r nd a t h e p r o c e s s o f c a p t u r e d d a t a p a c k e t r a e a n a l y z e d a n d j u d g e d t o r e l a i z e i n t e r c e p t i o n o f T r  ̄ n a v i r u s c o m m u n i c a t i o n s a n d t h e i d e n t i i f c a t i o n o f T r o j a n p r o c e s s .Wi t h t h e s a l T l e i n t e r c e p t i o n r a t e o f T r  ̄ n a c o m m u -
断 ,实现对木马通信 的拦截和 木 马进 程的识别。在对木马病毒通信拦截 率相 同的情 况下 ,该机制在 对数据 包的处理
速 度 上 , 明显 优 于 类似 功 能 的 防 木 马 软 件 。
关键词
木 马病毒 ;N D I S驱动 ;I P信 息库 ;网络 安全 ;合 法进 程表
T P 3 1 1 . 5 6 3 . 2 文献标识码 A 文章编号 1 0 0 7— 7 8 2 0 ( 2 0 1 3 ) 0 5—1 5 6— 0 4
中 图分 类号
Re s e a r c h o n a n d I m pl e me nt a t i o n o f Pr o t e c t i v e M e c ha n i s m
o f T r o j a n B a s e d o n N DI S I n t e r me d i a t e L a y e r
a n d E l e c t i r c P o w e r .Z h e n g z h o u 4 5 0 0 1 1 ,C h i n a ) Ab s t r a c t T h r o u g h a n a l y z i n g t h e c h a r a c t e i r s t i c s ,t y p e s a n d c o mmu n i c a t i o n m o d e o f t h e T r o j a n p r o g r a m,a p r o —
( 华北水利水 电学 院 信息 工程 学院 ,河南 郑州
通过对木马程序 的特征 、种 类及 通信 方 式的特 点进行 综合 分析 ,在 Wi n d o w s 平 台下,提 出了一种 利 用
N D I S中间层驱 动技 术 ,在 内核层面上进行防护的机制 。对捕 获的数据 包的 I P地址 、端 口号及所 属的进程 进行 分析判
K e y w o r d s t o r j n a v i r u s ,N D I S d i r v e r ,i p i n f o ma r t i o n ,n e t w o r k s e c u i r t y ,l e g a l p r o c e s s t a b l e
El e c t r o ni c Sc i .& Te c h . /M a y .1 5. 2 01 3
基于 N DI S 中 间 层 的 木 马 防 护 机 制 研 究 及 实 现
洪双喜 ,雷
摘 要
涛
4 5 0 0 1 1 )
随着社会信 息化 以及信息 网络化的迅速发展 , 网 络安 全 问题 1 3益 突 出且 越 来 越 复 杂 , 已经 成 为 亟 待解
决 的问题 , 并 引起 各 方 的关 注 。 目前 以木 马 病 毒 对 网 络 系统信 息进 行 的窃取 、 篡改 行 为最 为突 出 , 这对 网络 用户 的信 息 安全 构 成 了 巨大 威 胁 。与 此 同时 , 各 种 病 毒程 序 , 尤 其 是 木 马 程 序 通 过 计 算 机 网络 渗 透 到 P C 机中, 窃取秘密信息 , 给 信 息 系统 或个 人 带 来 严 重 威 胁 。比较 有 名 的 杀 毒 软 件 如 3 6 0 、 瑞 星 等 杀 毒 软 件 可 以对计算 机 起到 良好 的 保 护作 用 , 但 对 已经 潜 入 计 算
HONG S h u a n g x i ,L EI Ta o
( S c h o o l o f I n f o r m a t i o n E n g i n e e r i n g ,N o a h C h i n a U n i v e r s i t y o f Wa t e r C o n s e r v a n c y
t e c t i o n me c h a n i s m i n k e r n e l l e v e l b a s e d o n NDI S i n t e m e r d i a t e d iv r e r t e c h n i q u e o n t h e wi n d o ws p l a t f o m r i s p u t f o r wa r d .
n i c a t i o n s ,i t i s o b v i o u s l y s u p e i r o r t o t h e s i mi l r a f u n c t i o n l a nt a i - T mj a n s o f t w a r e i n t h e d a t a p a c k e t p r o c e s s i n g s p e e d .
I P a d d r e s s a n d p o r t n u m b e r nd a t h e p r o c e s s o f c a p t u r e d d a t a p a c k e t r a e a n a l y z e d a n d j u d g e d t o r e l a i z e i n t e r c e p t i o n o f T r  ̄ n a v i r u s c o m m u n i c a t i o n s a n d t h e i d e n t i i f c a t i o n o f T r o j a n p r o c e s s .Wi t h t h e s a l T l e i n t e r c e p t i o n r a t e o f T r  ̄ n a c o m m u -
断 ,实现对木马通信 的拦截和 木 马进 程的识别。在对木马病毒通信拦截 率相 同的情 况下 ,该机制在 对数据 包的处理
速 度 上 , 明显 优 于 类似 功 能 的 防 木 马 软 件 。
关键词
木 马病毒 ;N D I S驱动 ;I P信 息库 ;网络 安全 ;合 法进 程表
T P 3 1 1 . 5 6 3 . 2 文献标识码 A 文章编号 1 0 0 7— 7 8 2 0 ( 2 0 1 3 ) 0 5—1 5 6— 0 4
中 图分 类号
Re s e a r c h o n a n d I m pl e me nt a t i o n o f Pr o t e c t i v e M e c ha n i s m
o f T r o j a n B a s e d o n N DI S I n t e r me d i a t e L a y e r
a n d E l e c t i r c P o w e r .Z h e n g z h o u 4 5 0 0 1 1 ,C h i n a ) Ab s t r a c t T h r o u g h a n a l y z i n g t h e c h a r a c t e i r s t i c s ,t y p e s a n d c o mmu n i c a t i o n m o d e o f t h e T r o j a n p r o g r a m,a p r o —
( 华北水利水 电学 院 信息 工程 学院 ,河南 郑州
通过对木马程序 的特征 、种 类及 通信 方 式的特 点进行 综合 分析 ,在 Wi n d o w s 平 台下,提 出了一种 利 用
N D I S中间层驱 动技 术 ,在 内核层面上进行防护的机制 。对捕 获的数据 包的 I P地址 、端 口号及所 属的进程 进行 分析判
K e y w o r d s t o r j n a v i r u s ,N D I S d i r v e r ,i p i n f o ma r t i o n ,n e t w o r k s e c u i r t y ,l e g a l p r o c e s s t a b l e