文件名称:静态检测技术-learun 力软7.0 安装教程手册 内部版.
文件大小:12.95MB
文件格式:PDF
更新时间:2024-07-29 18:28:20
信息安全大赛 获奖作品
(1)防溢出技术 PE 文件格式分析技术。根据 PE 文件结构找出代码段的相对地址偏移量。 远程进程 DLL 插入技术。向目标进程中注入我们自己编写的 DLL,以对目标进行 API Hook 操作。 本进程 API、变量地址向远程进程地址空间映射。向目的进程映射 API 函数地址和变量地址,以进行远 程函数调用。 底层 API 检测技术。通过查找和修改代码段的机器指令,拦截常规 API Hook 不能发现的有安全隐患的 API。 基于指令分析的安全缓冲区长度计算。通过分析函数调用结束时的机器指令,顺次查找栈帧,计算安全 缓冲区长度。 (2)动态检测技术 原始文件自动保存技术。在进行动态检测需要注入 DLL 时,系统自动生成映射文件,原始文件自动重命 名为 name.exe~。 API Hook 技术。使用 Detours 对 API 函数调用进行预处理,拦截所有 API。 BP-PSO 联合检测技术。粒子群算法(PSO)用于对 BP 神经网络算法的改进中,提高准确率和效率。 数据库技术。将数据库技术用于编码和数据存取,提高编码效率和缩短存取时间,以满足实时检测要求。 (3)静态检测技术 端口-进程对应技术。将端口开放情况与对应的进程进行罗列,查找出新增端口及其对应的进程。 3.实验及结果 对 strcpy,strncpy,strncat,wcscpy,wcsncpy,wcsncat 均能正常检测,保护堆栈段不受缓冲区溢出的 影响。 能判断程序是否为正常程序,并能给出完整的特征模式序列。 对系统进程,端口,PE 文件信息能正常获取。 4.创新点总结 我们开发的“可疑程序威胁分析系统”不同于市面上已有的漏洞挖掘和入侵检测系统。我们的系统不仅能 实时的监控系统关键部位,对所监视的异常程序进行静态监控,还能够根据缓冲区溢出攻击的原理,从根本上 防范缓冲区溢出攻击的威胁。另外,通过 DLL 注入的方式启动异常程序,利用神经网络对其全部的系统调用进 行特征库匹配,这样不仅能检测到已存在的威胁,对未知的异常程序也能很好识别。这种同时利用粒子群算法 改进神经网络,并将其运用于异常程序检测的方法是我们的创新。具体来说,我们使用了如下的创新技术,来 实现该防护: (1)将 API HOOK 技术,DLL 技术和木马技术结合。API HOOK 的方法一般在攻击方法上用的很多,在防御方 面用的比较少。这里,我们将需要记录的 API 做成一个动态链接库,然后利用木马技术将 DLL 注入到目标程序 中,并自动启动目标程序,然后记录其所有的系统调用序列。 (2)使用未公开的 API AllocateAndGetTcpExTableFromStack 和 AllocateAndGetUdpExTableFromStack 来实 现进程与端口关联,使我们能清楚的看到是那个应用程序在使用哪个端口,这样就打破了 Windows 对端口访问