面向安全评估的攻击免杀技术研究

发布时间：2020-08-22 13:27

【摘要】：安全评估用于对企业内部的信息系统进行全面评估。近几年来,针对企业等大型机构的入侵行为大幅增加,安全评估可用于模拟入侵行为,机构负责人可根据安全评估的结果找到企业内部信息系统的脆弱点并予以加强。为模拟真实入侵行为,在安全评估中使用的渗透测试代码样本应当绕过杀毒软件查杀。本文通过逆向工程等手段对杀毒软件原理进行深入研究,并提出了三种可绕过杀毒软件的免杀技术,据此设计了免杀辅助工具及渗透测试代码投放平台。本文提出了混淆、白名单、沙盒绕过三种免杀手段。其中利用密码学及NP-Complete问题设计了杀毒软件难以识别的混淆方案,通过对Windows API的调用分析判断白名单程序能否用于实现免杀,基于沙盒技术自身的局限提出了稳定绕过沙盒查杀的方案。本文实现的工具有以下特点:1)使用了通过分析杀毒软件原理而提出的较全面的免杀技术。2)使用了通用的免杀技术,针对不同编程语言均有效。3)该工具能够有效降低恶意代码样本的被查杀率。实验结果表明,使用本文设计的免杀辅助工具提出的免杀策略能有效降低渗透测试代码投放平台使用的样本的被查杀率,样本最终能绕过NOD32、Kasperkey、Symentac等企业级杀毒软件,即在安全评估中使用本文提出的免杀技术可以达到预期效果。
【学位授予单位】：上海交通大学
【学位级别】：硕士
【学位授予年份】：2018
【分类号】：F272;TP309
【图文】：

上海交通大学硕士学位论文析被加壳的样本，但可以通过熵值[22, 23]判断样本是否被加壳，构造可视化的图[24]可以判断程序是否只是部分加壳。在此基础上，该论文[25]基于小波分解步挖掘了程序的加壳情况。在确认程序加壳且难以脱壳后，通常只能选择动析[26]程序行为。图 2-1 是基于熵值检测的杀毒软件分析流程。

-17-图 2-2 理想杀毒系统的查杀流程Fig.2-2 Ideal anti-virus system handling process该系统难以在用户机器中实现，原因在于混合符号执行[17, 33]、调用链匹配技术比较耗时，分析一个样本可能需要数天时间。现代杀毒软件在云端实现分类、符号执行等较耗时的查杀手段。不具备学习能力是杀毒软件自身存在的瓶颈，以勒索软件为例，该软件之所以能广泛传播[34]，一个原因就是其特征无法被杀毒软

上海交通大学硕士学位论文总体而言，杀毒软件的白名单不算通用的免杀技术，在厂商修有效防止未授权的白名单修改行为。3.3.2 系统白名单在内核 Windows NT 6.0 之前，Windows 系统没有复杂的安全机所在组进行权限划分。在 Vista 版本及以后引入了用户账户控制机制户以管理员身份登录后会被授予两个令牌。对于所有操作系统均使当程序主动要求管理员令牌或用户主动使用管理员令牌时将触发 UA序在通过/未通过 UAC 授权时的行为也有所区别。 UAC 检查机制如

【相似文献】

相关期刊论文 前10条

1 任丰;;化解“内存不足”五招[J];浙江现代教育技术;2005年05期

2 刘飞宇;;选择查杀 针对目标效率高[J];电脑爱好者;2014年04期

3 丁小光;;病毒查杀终极方案[J];电脑知识与技术(经验技巧);2007年11期

4 颜丽;;查杀电脑病毒的六大误区[J];家电检修技术;2000年04期

5 震震有词;;和云查杀斗争到底[J];网友世界;2011年22期

6 小二黑;;争奇斗艳 360与金山的云查杀技术[J];电脑迷;2011年18期

7 ;专业木马查杀工具 反木马卫士[J];电脑知识与技术(经验技巧);2011年11期

8 ;系统安全模式下另类查杀病毒[J];电脑爱好者;2008年12期

9 ;推荐几款查杀软件[J];山西档案;2006年06期

10 勇军;木马万能查杀法[J];电脑;2003年11期

相关会议论文 前4条

1 高静峰;;浅析云查杀与主动防御[A];第26次全国计算机安全学术交流会论文集[C];2011年

2 黄曦东;裴克军;;论高校校园网中病毒的有效预防和查杀[A];第七届全国体育科学大会论文摘要汇编（二）[C];2004年

3 庞岩梅;李晓东;娄嘉鹏;;“计算机病毒”课程教学实践探讨[A];Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011) Vol.1[C];2011年

4 李宥志;;基于Windows的现代木马技术研究和分析[A];全国计算机安全学术交流会论文集·第二十五卷[C];2010年

相关重要报纸文章 前10条

1 新华社记者 顾洪洪;“立体防毒”取代“传统查杀”[N];新华每日电讯;2003年

2 ;4月26日将至CIH又将肆虐 升级杀毒软件全面查杀病毒[N];工人日报;2003年

3 左常睿;我抢得病毒查杀专利战先机[N];科技日报;2004年

4 罗小婵 胡兵 谷平;对旧观念来一次“云查杀”[N];战士报;2012年

5 ;360云查杀带动安全行业技术革命[N];计算机世界;2010年

6 湖北 菜鸟;查杀外泄系统信息的木马[N];电脑报;2003年

7 本报记者 胡英;“云查杀”不是秘密[N];计算机世界;2011年

8 松涛;电脑病毒查杀利器——Spant[N];中国电脑教育报;2004年

9 刘亭;根据PID查杀木马一法[N];中国电脑教育报;2004年

10 李玉涛;查杀PCGHOST（电脑幽灵）[N];电脑报;2002年

相关硕士学位论文 前10条

1 胡嘉熙;面向安全评估的攻击免杀技术研究[D];上海交通大学;2018年

2 王作成;某企业私有云病毒查杀平台建设与实现[D];吉林大学;2018年

3 胡鹏;基于多引擎查杀和行为特征的分布式木马检测系统研究与设计[D];华南理工大学;2015年

4 王北辰;诈骗短信查杀仿真器研究与实现[D];长安大学;2009年

5 孔丹丹;基于规则的计算机病毒查杀引擎技术研究[D];北方工业大学;2017年

6 李琳;金山云查杀分布式存储系统的设计与实现[D];哈尔滨工业大学;2013年

7 徐迎迎;云安全框架下的病毒防范关键技术研究[D];北京邮电大学;2013年

8 李漫丽;流氓软件研究及流氓软件克星软件的设计[D];中南大学;2008年

9 罗云峰;云防御系统中自动分类检测机制的研究[D];华中科技大学;2013年

10 佟宝华;基于计算机视觉的“病毒查杀”演示系统的研究与开发[D];东北大学;2009年

本文编号：2800738