1、大葉大學資訊管理系1惡意軟體之隱藏及偵測技術大葉大學資訊管理學系曹偉駿副教授大葉大學資訊管理系2大綱n研究背景與動機n研究目的n文獻探討n新型的 研製n實驗設計與分析n結論與未來發展方向大葉大學資訊管理系3研究背景與動機 ()n近年來,惡意軟體()包括病毒、木馬以及間諜程式日益盛行n道高一尺,魔高一丈,一種稱為的技術正威脅著系統,並且讓系統的安全檢測變得更加困難,甚至無從下手n的高深隱藏技術常被許多惡意程式用來躲過防毒軟體或防惡意軟體程式的監控大葉大學資訊管理系4研究背景與動機 ()年 音樂光碟使用 技術,來保護防盜拷軟體不被使用者任意移除,引來人們對的注意專門討論的論壇誕生 問世,這些 夠好
2、嗎? 老大的姿態自居?有些機構如 或軍方,透過網路竊取情報時, 需要高隱藏技術大葉大學資訊管理系5研究目的n若想研製具有高準確度之偵測機制,必需探究的製作流程、技術及特徵,才能有效率的防患於未然 n開發出一套新型的 且能不被現有的偵測方法所偵測到,激勵 能改進其缺失n經由研究變種的心得,研製比市面上更強的 ,其偵測方法希望能觸發研發者新的想法,並能縮短開發新版本的時間大葉大學資訊管理系6文獻探討()n惡意程式碼決策流程圖大葉大學資訊管理系7文獻探討()n的探討n出現二十世紀年代初,這個名詞,來自 與 兩個字的結合。n是一套可以讓攻擊者取得受害電腦最高權限的工具,攻擊者利用 權限隱藏與電腦的溝通
3、,不讓管理者發現。 大葉大學資訊管理系8文獻探討()n類型 n 諸如或等作業系統都有使用者模式( )和核心模式( )等執行模式。 大葉大學資訊管理系9文獻探討()n n 攻擊者以中的木馬程式來替換系統中正常的應用程式與系統檔案。 大葉大學資訊管理系10文獻探討()n n 透過操作與利用 ,已成為最難被發現的,因為它能夠在應用層檢查中,建立一條繞過檢驗的通道。 大葉大學資訊管理系11文獻探討() 修改系統呼叫表 大葉大學資訊管理系12文獻探討()n技術n隱藏檔案n正常系統呼叫函數替換成的系統呼叫函數 n隱藏程序n程序的記錄訊息會存放於檔案系統中的,改變()系統呼叫函數 n隱藏網路連接n網路連結會
4、記錄在與這兩個檔案之中,改變()系統呼叫函數 n重定向檔案設置 n將正常系統呼叫函數替換為的系統呼叫函數 n n、兩學者提出,主要是利用繞道( )技術 大葉大學資訊管理系13文獻探討() 程序大葉大學資訊管理系14文獻探討()n現有的 n安裝於系統核心模組時,將會隱藏監聽網路封包之檔案且改變八個系統呼叫:、與 供攻擊者取得較多的系統控制權 n特性 n隱藏檔案或目錄、隱藏或連接、程序執行重定向、非授權的用戶權限增加、隱藏正在執行的程序 n具有 的主要功能,如隱藏檔案、隱藏程序、隱藏網路連結與重定向檔案設置等n一個非常強大的功能:許可權後門程式 大葉大學資訊管理系15文獻探討()n現有的偵測技術n
5、特徵偵測( ) n鑑別的特徵 () n行為偵測( ) n搜尋程式隱藏的元素,包括檔案或記錄(、) n完整性偵測( ) n對系統中的檔案與目錄建立一個比對資料庫 () n硬體式偵測( ) n透過外接周邊設備方式安裝在電腦插槽中,對進行偵測與監控 ()n交叉察看偵測( )n透過 取得系統上重要的資訊,如檔案()、程序()或機碼( ),再與經由程式本身演算法產生的資訊進行交叉察看 ( ) 大葉大學資訊管理系16文獻探討()各偵測技術的比較 優點缺點特徵偵測需不定期更新病毒碼至資料庫中,即可偵測新的惡意軟體無法偵測未知型的惡意軟體行為偵測可辨識已知或未知的惡意軟體無法辨識特定的惡意軟體完整性偵測不需更
6、新病毒碼至資料庫中,可發現系統檔案是否被竄改無法辨識惡意軟體行為硬體式偵測擁有自己的,並透過對電腦記憶體掃描需花費大量成本建置與維護交叉察看偵測檢測系統檔案、程序與機碼只應用於作業系統大葉大學資訊管理系17新型的 研製()更改系統呼叫之記憶體位址 偵測 大葉大學資訊管理系18新型的核心模式 ()n重定向系統呼叫方法架構系統呼叫函式位址大葉大學資訊管理系19躲避現有偵測機制的測試方法 大葉大學資訊管理系20變形的 之偵測機制()大葉大學資訊管理系21變形的 之偵測機制()變形系統呼叫指令 作業系統核心映像檔系統呼叫指令 大葉大學資訊管理系22實驗設計與分析 n編譯核心n編譯與安裝變形大葉大學資訊
7、管理系23實驗測試功能可行性()n隱藏程序大葉大學資訊管理系24實驗測試功能可行性()大葉大學資訊管理系25實驗測試功能可行性()n隱藏檔案大葉大學資訊管理系26實驗測試躲避現有偵測軟體()大葉大學資訊管理系27實驗測試躲避現有偵測軟體()大葉大學資訊管理系28實驗測試躲避現有偵測軟體()大葉大學資訊管理系29結論n本論文所提出重定向系統呼叫方法確實能夠成功迴避現有的偵測軟體,具有實務意義與相關研究價值 大葉大學資訊管理系30未來發展方向n經由研究的心得,研製比現有 更強的偵測軟體n發展專於隱藏 的,並能躲過市面上知名的偵測軟體n針對所設計的 技術,研發出對應的偵測方法大葉大學資訊管理系31謝謝聆聽敬請指教
