智能主動(dòng)防御系統(tǒng)(08-100)
——
作者:趙宇宸 齊鵬 毛寧祥 胡建偉 西安電子科技大學(xué)
時(shí)間:2009-02-26
來(lái)源:電子產(chǎn)品世界
收藏
加入技術(shù)交流群
掃碼加入
和技術(shù)大咖面對(duì)面交流
海量資料庫(kù)查詢(xún)
下面是Shadow SSDT表中鉤掛的函數(shù):
本文引用地址:http://www.czjhyjcfj.com/article/91772.htmNtSetUserWindowsHookEx。
通過(guò)替換系統(tǒng)中的這些函數(shù),來(lái)實(shí)現(xiàn)對(duì)一個(gè)程序的行為監(jiān)控,并進(jìn)行主動(dòng)判斷來(lái)檢測(cè)病毒或者木馬,其原理如圖4所示。
圖4 病毒主動(dòng)防御原理
可以看到,應(yīng)用層的軟件都會(huì)經(jīng)過(guò)我們攔截模塊的過(guò)濾,然后把信息傳給我們的用戶(hù)接口。用戶(hù)態(tài)程序主要用于顯示程序執(zhí)行時(shí)調(diào)用的函數(shù),以及發(fā)現(xiàn)危險(xiǎn)操作時(shí)進(jìn)行告警。內(nèi)核態(tài)的驅(qū)動(dòng)程序主要用于信息的截獲,以及分析處理,判斷危險(xiǎn)調(diào)用,然后通知用戶(hù)。內(nèi)核態(tài)程序和用戶(hù)態(tài)程序采用了事件進(jìn)行同步,因此可以實(shí)時(shí)的進(jìn)行信息的傳遞,大大提高了效率,同時(shí)用一個(gè)緩沖區(qū)隊(duì)列把實(shí)時(shí)信息傳到用戶(hù)態(tài)的程序。
用戶(hù)態(tài)程序和內(nèi)核態(tài)程序交互的示意圖如圖5所示。
評(píng)論