【摘要】：安全評(píng)估用于對(duì)企業(yè)內(nèi)部的信息系統(tǒng)進(jìn)行全面評(píng)估。近幾年來,針對(duì)企業(yè)等大型機(jī)構(gòu)的入侵行為大幅增加,安全評(píng)估可用于模擬入侵行為,機(jī)構(gòu)負(fù)責(zé)人可根據(jù)安全評(píng)估的結(jié)果找到企業(yè)內(nèi)部信息系統(tǒng)的脆弱點(diǎn)并予以加強(qiáng)。為模擬真實(shí)入侵行為,在安全評(píng)估中使用的滲透測(cè)試代碼樣本應(yīng)當(dāng)繞過殺毒軟件查殺。本文通過逆向工程等手段對(duì)殺毒軟件原理進(jìn)行深入研究,并提出了三種可繞過殺毒軟件的免殺技術(shù),據(jù)此設(shè)計(jì)了免殺輔助工具及滲透測(cè)試代碼投放平臺(tái)。本文提出了混淆、白名單、沙盒繞過三種免殺手段。其中利用密碼學(xué)及NP-Complete問題設(shè)計(jì)了殺毒軟件難以識(shí)別的混淆方案,通過對(duì)Windows API的調(diào)用分析判斷白名單程序能否用于實(shí)現(xiàn)免殺,基于沙盒技術(shù)自身的局限提出了穩(wěn)定繞過沙盒查殺的方案。本文實(shí)現(xiàn)的工具有以下特點(diǎn):1)使用了通過分析殺毒軟件原理而提出的較全面的免殺技術(shù)。2)使用了通用的免殺技術(shù),針對(duì)不同編程語言均有效。3)該工具能夠有效降低惡意代碼樣本的被查殺率。實(shí)驗(yàn)結(jié)果表明,使用本文設(shè)計(jì)的免殺輔助工具提出的免殺策略能有效降低滲透測(cè)試代碼投放平臺(tái)使用的樣本的被查殺率,樣本最終能繞過NOD32、Kasperkey、Symentac等企業(yè)級(jí)殺毒軟件,即在安全評(píng)估中使用本文提出的免殺技術(shù)可以達(dá)到預(yù)期效果。
【學(xué)位授予單位】：上海交通大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2018
【分類號(hào)】：F272;TP309
【圖文】：

上海交通大學(xué)碩士學(xué)位論文析被加殼的樣本，但可以通過熵值[22, 23]判斷樣本是否被加殼，構(gòu)造可視化的圖[24]可以判斷程序是否只是部分加殼。在此基礎(chǔ)上，該論文[25]基于小波分解步挖掘了程序的加殼情況。在確認(rèn)程序加殼且難以脫殼后，通常只能選擇動(dòng)析[26]程序行為。圖 2-1 是基于熵值檢測(cè)的殺毒軟件分析流程。

-17-圖 2-2 理想殺毒系統(tǒng)的查殺流程Fig.2-2 Ideal anti-virus system handling process該系統(tǒng)難以在用戶機(jī)器中實(shí)現(xiàn)，原因在于混合符號(hào)執(zhí)行[17, 33]、調(diào)用鏈匹配技術(shù)比較耗時(shí)，分析一個(gè)樣本可能需要數(shù)天時(shí)間�，F(xiàn)代殺毒軟件在云端實(shí)現(xiàn)分類、符號(hào)執(zhí)行等較耗時(shí)的查殺手段。不具備學(xué)習(xí)能力是殺毒軟件自身存在的瓶頸，以勒索軟件為例，該軟件之所以能廣泛傳播[34]，一個(gè)原因就是其特征無法被殺毒軟

上海交通大學(xué)碩士學(xué)位論文總體而言，殺毒軟件的白名單不算通用的免殺技術(shù)，在廠商修有效防止未授權(quán)的白名單修改行為。3.3.2 系統(tǒng)白名單在內(nèi)核 Windows NT 6.0 之前，Windows 系統(tǒng)沒有復(fù)雜的安全機(jī)所在組進(jìn)行權(quán)限劃分。在 Vista 版本及以后引入了用戶賬戶控制機(jī)制戶以管理員身份登錄后會(huì)被授予兩個(gè)令牌。對(duì)于所有操作系統(tǒng)均使當(dāng)程序主動(dòng)要求管理員令牌或用戶主動(dòng)使用管理員令牌時(shí)將觸發(fā) UA序在通過/未通過 UAC 授權(quán)時(shí)的行為也有所區(qū)別。 UAC 檢查機(jī)制如

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 任豐;;化解“內(nèi)存不足”五招[J];浙江現(xiàn)代教育技術(shù);2005年05期

2 劉飛宇;;選擇查殺 針對(duì)目標(biāo)效率高[J];電腦愛好者;2014年04期

3 丁小光;;病毒查殺終極方案[J];電腦知識(shí)與技術(shù)(經(jīng)驗(yàn)技巧);2007年11期

4 顏麗;;查殺電腦病毒的六大誤區(qū)[J];家電檢修技術(shù);2000年04期

5 震震有詞;;和云查殺斗爭到底[J];網(wǎng)友世界;2011年22期

6 小二黑;;爭奇斗艷 360與金山的云查殺技術(shù)[J];電腦迷;2011年18期

7 ;專業(yè)木馬查殺工具 反木馬衛(wèi)士[J];電腦知識(shí)與技術(shù)(經(jīng)驗(yàn)技巧);2011年11期

8 ;系統(tǒng)安全模式下另類查殺病毒[J];電腦愛好者;2008年12期

9 ;推薦幾款查殺軟件[J];山西檔案;2006年06期

10 勇軍;木馬萬能查殺法[J];電腦;2003年11期

相關(guān)會(huì)議論文 前4條

1 高靜峰;;淺析云查殺與主動(dòng)防御[A];第26次全國計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2011年

2 黃曦東;裴克軍;;論高校校園網(wǎng)中病毒的有效預(yù)防和查殺[A];第七屆全國體育科學(xué)大會(huì)論文摘要匯編（二）[C];2004年

3 龐巖梅;李曉東;婁嘉鵬;;“計(jì)算機(jī)病毒”課程教學(xué)實(shí)踐探討[A];Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011) Vol.1[C];2011年

4 李宥志;;基于Windows的現(xiàn)代木馬技術(shù)研究和分析[A];全國計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集·第二十五卷[C];2010年

相關(guān)重要報(bào)紙文章 前10條

1 新華社記者 顧洪洪;“立體防毒”取代“傳統(tǒng)查殺”[N];新華每日電訊;2003年

2 ;4月26日將至CIH又將肆虐 升級(jí)殺毒軟件全面查殺病毒[N];工人日?qǐng)?bào);2003年

3 左常睿;我搶得病毒查殺專利戰(zhàn)先機(jī)[N];科技日?qǐng)?bào);2004年

4 羅小嬋 胡兵 谷平;對(duì)舊觀念來一次“云查殺”[N];戰(zhàn)士報(bào);2012年

5 ;360云查殺帶動(dòng)安全行業(yè)技術(shù)革命[N];計(jì)算機(jī)世界;2010年

6 湖北 菜鳥;查殺外泄系統(tǒng)信息的木馬[N];電腦報(bào);2003年

7 本報(bào)記者 胡英;“云查殺”不是秘密[N];計(jì)算機(jī)世界;2011年

8 松濤;電腦病毒查殺利器——Spant[N];中國電腦教育報(bào);2004年

9 劉亭;根據(jù)PID查殺木馬一法[N];中國電腦教育報(bào);2004年

10 李玉濤;查殺PCGHOST（電腦幽靈）[N];電腦報(bào);2002年

相關(guān)碩士學(xué)位論文 前10條

1 胡嘉熙;面向安全評(píng)估的攻擊免殺技術(shù)研究[D];上海交通大學(xué);2018年

2 王作成;某企業(yè)私有云病毒查殺平臺(tái)建設(shè)與實(shí)現(xiàn)[D];吉林大學(xué);2018年

3 胡鵬;基于多引擎查殺和行為特征的分布式木馬檢測(cè)系統(tǒng)研究與設(shè)計(jì)[D];華南理工大學(xué);2015年

4 王北辰;詐騙短信查殺仿真器研究與實(shí)現(xiàn)[D];長安大學(xué);2009年

5 孔丹丹;基于規(guī)則的計(jì)算機(jī)病毒查殺引擎技術(shù)研究[D];北方工業(yè)大學(xué);2017年

6 李琳;金山云查殺分布式存儲(chǔ)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];哈爾濱工業(yè)大學(xué);2013年

7 徐迎迎;云安全框架下的病毒防范關(guān)鍵技術(shù)研究[D];北京郵電大學(xué);2013年

8 李漫麗;流氓軟件研究及流氓軟件克星軟件的設(shè)計(jì)[D];中南大學(xué);2008年

9 羅云峰;云防御系統(tǒng)中自動(dòng)分類檢測(cè)機(jī)制的研究[D];華中科技大學(xué);2013年

10 佟寶華;基于計(jì)算機(jī)視覺的“病毒查殺”演示系統(tǒng)的研究與開發(fā)[D];東北大學(xué);2009年

本文編號(hào)：2800738