基于内存转储分析的代码注入攻击检测方法
发布时间:2021-11-07 07:55
代码注入攻击是计算机系统安全领域面临的重要问题之一。基于主机的代码注入攻击(HBCIA,Host-Based Code Injection Attacks)相比于早期的代码注入攻击,因其攻击方式的隐蔽性和复杂性,给用户计算机系统带来了巨大的威胁。在基于主机的代码注入攻击中,注入者实体和受害者实体同为驻留在同一操作系统上的进程,注入者实体通常利用操作系统提供的系统调用接口来对受害者实体进行代码注入。为了对引入基于主机的代码注入攻击技术的恶意软件进行有效检测,当前业界公开了多种基于主机的代码注入攻击检测方法,从动态监测和静态检测两个侧面,在不同的主体和内存区域粒度上对基于主机的代码注入攻击恶意行为实施检测。其中,基于主机的代码注入攻击内存取证方法基于对内存转储文件的分析来检测基于主机的代码注入攻击,被认为是最为实际有效的检测手段之一。本文对当前在内存转储文件中检测基于主机的代码注入攻击的主流系统Quincy进行了深入研究分析,发现Quincy系统采用的基于机器学习的基于主机的代码注入攻击内存特征方案存在以下问题:首先,Quincy系统采用的基于主机的代码注入攻击内存特征方案仅考虑与进程内存...
【文章来源】:西安电子科技大学陕西省 211工程院校 教育部直属院校
【文章页数】:70 页
【学位级别】:硕士
【部分图文】:
内存转储流程图
第三章 Eugen 组件设计关的特征 anti_forensic。(4)内存类扩充模块(memory_exp):该模块实现了和恶意软件隐蔽通信机制相关的三个特征 dga_blacklist,dga,vnc。(5)木马类扩充模块(trojan_exp):该模块实现了和木马相关的 5 个特征,包括传播机制(propagation)、重定向(redirect)、数字货币(currency)、地理限制(country)、剪贴板(clipboard)5 个 HBCIA 特征。QuincyEugen
互联网控制端主机图3.4VNC 反向连接功能木马类扩展模块木马类扩展模块(trojan_exp)中新增特征 trojan_currency、trojan_redirect、trojan_propagation、trojan_country、trojan_clipboard,它们的具体含义如下:特征 trojan_currency:鉴于数字货币匿名交易机制带来的溯源困难性,恶意软件作者青睐于基于数字货币的窃取和交易,例如利用 HBCIA 技术的勒索软件采用数字货币作为解密关键文件的赎金。该模块首先通过内存解析模块获取内存转储文件中的每一个内存区域,其次查找每一个内存区域是够含有与数字货币交易相关的币种词汇,如果有则该内存区域被标记为恶性,否则被标记为良性。该特征弥补了原木马类中对数字货币交易特征描述的缺失。特征 trojan_redirect:代码注入攻击目标实现的另一个普遍的机制是网页跳转。木马软件通常会在用户访问的各种银行网页代码中添加恶意的JS代码,如图 3.5所示,citadel 木马会向从正常的银行网站返回的页面中植入 JS 代码
【参考文献】:
期刊论文
[1]内存取证研究与进展[J]. 张瑜,刘庆中,李涛,吴丽华,石春. 软件学报. 2015(05)
[2]防御代码注入式攻击的字面值污染方法[J]. 王溢,李舟军,郭涛. 计算机研究与发展. 2012(11)
本文编号:3481475
【文章来源】:西安电子科技大学陕西省 211工程院校 教育部直属院校
【文章页数】:70 页
【学位级别】:硕士
【部分图文】:
内存转储流程图
第三章 Eugen 组件设计关的特征 anti_forensic。(4)内存类扩充模块(memory_exp):该模块实现了和恶意软件隐蔽通信机制相关的三个特征 dga_blacklist,dga,vnc。(5)木马类扩充模块(trojan_exp):该模块实现了和木马相关的 5 个特征,包括传播机制(propagation)、重定向(redirect)、数字货币(currency)、地理限制(country)、剪贴板(clipboard)5 个 HBCIA 特征。QuincyEugen
互联网控制端主机图3.4VNC 反向连接功能木马类扩展模块木马类扩展模块(trojan_exp)中新增特征 trojan_currency、trojan_redirect、trojan_propagation、trojan_country、trojan_clipboard,它们的具体含义如下:特征 trojan_currency:鉴于数字货币匿名交易机制带来的溯源困难性,恶意软件作者青睐于基于数字货币的窃取和交易,例如利用 HBCIA 技术的勒索软件采用数字货币作为解密关键文件的赎金。该模块首先通过内存解析模块获取内存转储文件中的每一个内存区域,其次查找每一个内存区域是够含有与数字货币交易相关的币种词汇,如果有则该内存区域被标记为恶性,否则被标记为良性。该特征弥补了原木马类中对数字货币交易特征描述的缺失。特征 trojan_redirect:代码注入攻击目标实现的另一个普遍的机制是网页跳转。木马软件通常会在用户访问的各种银行网页代码中添加恶意的JS代码,如图 3.5所示,citadel 木马会向从正常的银行网站返回的页面中植入 JS 代码
【参考文献】:
期刊论文
[1]内存取证研究与进展[J]. 张瑜,刘庆中,李涛,吴丽华,石春. 软件学报. 2015(05)
[2]防御代码注入式攻击的字面值污染方法[J]. 王溢,李舟军,郭涛. 计算机研究与发展. 2012(11)
本文编号:3481475
本文链接:https://www.wllwen.com/kejilunwen/ruanjiangongchenglunwen/3481475.html
