基于行为监控的木马查杀技术设计方案

基于行为监控的木马查杀技术设计方案绪论

计算机的广泛应用把人类带入了一个全新的信息时代，不仅大方便了人们的生活，而且还直接影响着社会的各个方面；计算机及信息系统在给人们提供高速计算、海量信息、协同处理等各种服务的同时，其本身的安全性、完整性和可用性也受到了前所未有的威胁，计算机病毒、计算机犯罪、黑客攻击、系统故障等事件层出不穷，尤其是近年来计算机病毒的增长速度之快、传播围之广、造成损失之大令人痛心疾首。

2007年初，我读到了《中国互联网2006年度信息安全报告》。该报告中显示，2006年全国的计算机病毒呈现三大特点：一是电脑病毒呈爆炸式增长。全年共截获新增病毒多达240156种（图 0.1）。

图 0.1 2003、2004、2005、2006连续四年新增病毒数量对比示意图

二是木马增长特快，并且变种多、比例高。2006年，木马的新增数占总病毒新增数的73%，多达175313种。有的木马程序在一天之增加了10余个不同的变种（图 0.2）。而在所有的木马中，盗号木马又是最严重的一类，所占比例高达76.04%，成为了名副其实的“最毒”。

图 0.2 2006年新增病毒主要类型所占比例示意图

三是破坏力强，木马所造成的灾难非常严重。病毒不仅使全国75,967,19台计算机受到感染，破坏了大量的硬件设施和软件设备，而且使广大网民的网上财产受到了空前的损失。特别是盗号木马不仅疯狂盗取网民的网银、虚拟财产，而且还盗取个人信息、企业资料等各种重要数据，已经形成了强大的无孔不入的产业链，成为了众多网民面临的第一大威胁。

资料证明6：在过去的两年里，有91.35%的计算机遭受过木马的攻击，有51%的恶意程序是专门用于盗取网银、网游等网络财产和QQ号、密码、数据的木马，每年给国家和网民造成115亿元以上的经济损失，而且还在以74%的速度递增。

面对如此严峻的形势，我的心情非常沉重：既然木马这么严重，特别是盗号木马已经成为网民的第一大威胁，为什么我们还要由它肆意泛滥而坐视不管呢？是我们没有能力解决还是有能力解决但没有找到好的办法呢？作为一名计算机爱好者，特别是一名有志青年，为什么不为消除恶意程序尽点自己的努力呢？于是，我开始留意这方面的成果，收集相关资料，下定决心找一种无需特征码、主动防御、能为用户提供木马详尽信息的方法，为广大网民、为互联网的安全、也为我国的计算机事业做出自己的贡献，于是我坚定地开始了该课题的研究。

1系统功能及总体架构

1.1软件功能

1.1.1对键盘记录型木马的监控

使用全局钩子监控键盘的用户输入是当前盗号木马常用的一种盗号方式，本软件的行为监控功能可以及时发现木马并阻止该行为。

测试软件：键盘记录者 v8.0

下载地址：/soft/5142.htm

代表类型：使用全局钩子的键盘记录型盗号木马

首先，不打开本软件或关闭行为监控功能，直接运行键盘记录者程序。

从截图可以看出，键盘记录者已将在记事本中输入的字符截获。

图 1.1未运行本程序时的情形

然后，我们先开启本程序或开启行为监控功能，再运行键盘记录者。

从以下截图中可以看出，在键盘记录者运行时，本程序给出了提示以及键盘记录者程序的路径。同时，由于默认的行为规则为阻止全局钩子设置，键盘记录者已无法发挥作用。

图 1.2本程序检测到全局钩子的设置并给出提示

图 1.3由于设置钩子被阻止，键盘记录功能已无法发挥作用

1.1.2对消息发送型木马的监控

通过向文本框发送WM_GETTEXT消息获取其中的文本也是常见的一种盗号方法，本软件对此行为也进行了监控。

测试软件：窗体属性修改专家2007

下载地址：.skycn./soft/9342.html

代表类型：通过发送WM_GETTEXT消息获取文本框文本的木马

首先，不打开本软件或关闭行为监控功能，直接运行窗体属性修改专家2007，打开记事本，随意键入一些文本，再按窗体属性修改专家的方法，将头像图标拖至记事本的文本框。

从截图可以看出，记事本的文本已出现在“获得窗口的文本或*号密码”中。

图 1.4窗体属性修改专家已将记事本中的文本显示出来

然后，我们先开启本程序或开启行为监控功能，再运行窗体属性修改专家。

从以下截图中可以看出，在尝试获取文本时，本程序给出了提示以及窗体属性修改专家的程序路径。同时，由于默认的行为规则为阻止了文本获取，“获得窗口的文本或*号密码”中已无任何文本出现。

图 1.5窗体属性修改专家已无法获取文本

1.1.3系统状况分析：全局钩子检测

众所周知，全局钩子是一种能截获系统围的消息并进行处理的一种机制，键盘记录型木马使用此技术监视用户键盘、鼠标等活动，盗取密码。

本软件的全局钩子检测功能可以检测出系统中当前活动的所有全局钩子，并获取全局钩子的设置者、钩子类型等信息。

不论全局钩子何时设置，本功能都能检测出来。因此，也可以检测出行为监控关闭时以及本软件启动前侥幸逃脱监控的钩子。

例如，我们可以按以下步骤验证此功能：

首先，关闭行为监控或关闭本软件，打开键盘记录者。

然后，再运行本软件并打开主窗口及系统状况分析-全局钩子检测功能。

从截图中可以看出，键盘记录者所设置的钩子已显示在列表中。这两个钩子的类型为WH_GETMESSAGE和WH_CBT，钩子的设置者为键盘记录者程序

“C:\Program Files\kdemo80\demo80.exe”。

图 1.6全局钩子列表

选中键盘记录者设置的这两个钩子，点击删除钩子。删除成功后，再向记事本中输入文本，可见键盘记录者中已无相应文本出现。

1.1.4行为日志记录

在1.1.1 对键盘记录型木马的监控中，运行键盘记录者时，本软件给出了提示，同时，在行为日志中，也对键盘记录者的各种操作做了详细记录。如图 1.7中所示的时间、所进行的操作（设置钩子）、操作来源、钩子类型及根据行为规则对此的处理等信息。