（计算机科学与技术专业论文）应用程序文件保护的研究与应用.pdf

国防科学技术大学研究生院工学硕十学位论文 摘要 在各类安全事件中，计算机感染病毒、蠕虫、木马占有很大的比例。病毒、 蠕虫、木马的主要破坏目标是应用程序，应用程序文件被破坏或被篡改将导致应 用程序行为不可确定，或者应用程序不可运行。因此，研究如何保护应用程序， 有重要的理论意义和应用价值。 针对应用程序保护问题，当前主要集中在对计算机病毒、蠕虫、木马等恶意 程序的防御上开展工作，从计算机硬件、操作系统、应用软件着手研究恶意程序 的防御技术。基于硬件的防恶意技术有安全芯片技术和自安全存储设备，从操作 系统着手研究的防恶意程序技术有安全操作系统和访问控制控制技术，从应用软 件着手研究的防御技术有防病毒软件和沙盒技术，等等。然而，各种防御技术都 存有各自的缺陷，不能从根本上解决应用程序保护问题。 本文对操作系统、w i n d o w s 注册表和应用程序自身存在的安全问题进行了分 析。操作系统存在安全问题有：系统管理员用户拥有的权限过大；操作系统因为 升级、修复漏洞，需要打补丁。注册表的安全问题有：任意程序都可以修改或删 除注册表中的信息；系统和程序在启动时都依赖注册表中的配置信息。应用程序 自身存在的问题有：应用程序文件存放混杂：程序文件和数据文件没有分别对待； 应用程序卸载不完全；程序运行过程中创建的临时文件给系统带来安全问题。在 此基础上，构建了保护应用程序文件的模型( a p p l i c a t i o np r o t e c t i o nm o d e l ，简称 a p m ) 。 论文对a p m 进行了形式化的定义，对a p m 的安全性质进行了说明。a p m 最 为重要的安全性质有：a p m 合理缩小应用程序的访问权限；a p m 对攻击应用程序 文件的恶意程序有免疫功能；a p m 可以遏制恶意程序肆意传播；a p m 对遭到的攻 击有实时反应功能。 在w i n d o w sx p 上对a p m 的有效性、性能进行了测试。测试结果表明，a p m 可以对应用程序起到保护作用，并且a p m 对系统性能影响很小。 主题词：应用程序，应用程序保护，访问控制，用户意愿，恶意程序 第i 页 国防科学技术大学研究生院工学硕士学位论文 a b s t r a c t a m o n gv a r i o u sc o m p u t e rs e c u r i t ye v e n t s ，v i r u s ，w o r ma n dt r o j i a nh o r s e si n f e c t i o n t a k eg r e a tp r o p o r t i o n ，t h e i rm a i ni n f e c tt a r g e ta l ea p p l i c a t i o n s o n c eb e i n f e c t e d ， a p p l i c a t i o n sw o u l db a h a v i o ra b n o r m a l l yo re v e nc o u l d n te x e c u t e s oi th a sb e t h t h e o r e t i ca n d p r a c t i c a lv a l u e st os t u d yo na p p l i c a t i o np r o t e c t i o n p r e s e n t l y ，ag r e a t ed e a lo fw o r kg o e si n t ot h ed e f e n s eo fv i r u s ，w o r ma n dt r o j i a n h o r s e ，b r o u g h tf o r w a r dm a n yt h e c h n o l o g i e sw h i c hb a s e do nh a r d w a r e ，o p e r a t i n gs y s t e m a n da p p l i c a t i o ns o f t w a r e t e c h n o l o g i e sb a s e do nh a r d w a r ei n c l u d e ss e l f - s t o r e ds e c u r i t y d e v i c ea n ds e c u r i t yc h i p t e c h n o l o g yb a s e do no p e r a t i n gs y s t e mi n c l u d e ss e c u r i t y o p e r a t i n gs y s t e ma n dt r a d i t i o n a l a c c e s sc o n t r o l p o l i c y t e c h n o l o g i e sb a s e d o n a p p l i c a t i o nc o n s i s t e so fv i r u s - p r e v e n t e ds o f t w a r ea n ds a n d b o x h o w e r e ，b e c a u s eo ft h e i r l i m i t a i o n s ，t h e s et e c h n o l i g i e sc o u l d n tr e s o l v ep r o b l e m e so fa p p l i c t i o np r o t e c t i o n e n t i r e l y f i r s t l y ，t h i sd i s s e r t a t i o na n a l y s e sv a r i o u ss y s t e ms e c u r i t yd r a w b a c k sw h i c hc o u l d f a l li n t ot h r e ef i e l d s ：o p e r a t i n gs y s t e m ，w i n d o w sm a n a g e m e n tm e c h a n i s mo fr e g i s t r y a n da p p l i c a t i o n o p e r a t i n gs y s t e mh a v em a n ys e c u r i t yp r o b l e m s ，s u c ha sa d m i n i s t r a t o r h a v es u p e rp o w e r ，o p e r a t i n gs y s t e mn e e d sr e p a i ra n du p g r a d ei t s e l f t h ew i n d o w s m a n a g e m e n tm e c h a n i s mo fr e g i s t r yh a v ep r o b l e m st o o ，s u c ha sa p p l i c a t i o n sm o d i f i n g t oi t ，b o t ht h eo p e r a t i n gs y s t e ma n da p p l i c a t i o n sd e p e n d i n go ni t a p p l i c a t i o n s p r o b l e m si n c l u d i n g ：a p p l i c a t i o nf i l e sa r es t o r e di nam e s s ，a p p l i c a t i o nf i l ec a n tb e d e l e t e dc o m p l e t e l yw h e nt h ea p p l i c a t i o ni su n i n s t a l l e d ，t h ee x i s t e n c eo ft h et e m p o r a r y f i l e sc a nl e a ku s e r sp r i v a c ye t c b a s e do nt h e s e ，t h i sd i s s e r t a t i o nb u i l d sa na p p l i c a t i o n p r o t e c t i o nm o d e l ，w h i c hn a m e da p m s e c o n d l y ，t h i sd i s s e r t a t i o ng i v e saf o r m a ld e f i n i t i o na n di n t r o d u c e ss e c u r i t y p r o p e r t i e so fa p m a p m si m p o r t a n ts e c u r i t yp r o p e r t i e si n c l u d e ：a p mm a k e st h e a p p l i c a t i o nh a v el e a s t a c c e s sr i g h t ，a p mi si m m u n et om a l w a r e sw h i c hh a v e f i l e a t t a c k i n ga c t i o n s ，a p mh a sa b i l i t yt os t o ps p r e a do ft h em a l w a r e sa n dh a sr e a l t i m e f e e d b a c kw h e ni td e t e c t e sa na t t a c k f i n a l l y ，t h ea p m i si m p l e m e n t e di nw i n d o w sx p s o m et e s t sa r ec o m p l e t e da n d t h er e s u l ti n d i c a t e sa p mc a np r e v e n tm a l i c i o u ss o f t w a r e sa t t a c ka n ds t o pi t ss p r e a d w i ll i r l ep e r f o r m a n c ec o s t k e yw o r d s ：a p p l i c a t i o n ，p r o t e c t i o no fa p p l i c a t i o n ，a c c e s sc o n t r o l ，i n t e n s i o n o ft h eu s e r , m a l w a r e 第i i 页 国防科学技术大学研究生院工学硕士学位论文 表目录 表1 1t c s e c 安全等级4 表3 1 注册表的逻辑结构2 6 表6 1 访问文件时间的统计5 3 第1 v 页 国防科学技术大学研究生院工学硕士学位论文 图目录 图1 1 网络安全事件类型1 图1 2 恶意程序破坏情况2 图1 3 基于角色访问控制原理5 图1 4 访问控制矩阵6 图1 5s s p r o p e r t y 的缺陷6 图2 1p e 文件结构图1 0 图2 2 变量v a r l 在未受感染程序中的位置1 2 图2 3 变量v a r l 在被感染程序中的位置1 3 图2 4 可执行文件导出表结构1 6 图2 5 p e 文件感染流程17 图3 1 w i n d o w s 中的访问检查过程2 2 图3 2 普通用户修改计算机系统时钟2 3 图3 3 v m w a r e 安装目录下的文件2 4 图3 4 用户文件与程序文件存放混杂2 5 图3 5 访问数据文件时创建的临时文件。2 6 图3 6 注册表逻辑结构2 7 图3 7a c p i 键下的值2 8 图3 8r u n 键保存自动运行的程序路径2 8 图4 1 参与创建用户进程的系统进程一3 4 图4 2a p m 中各元素之间关系3 5 图4 3 文件访问流程3 9 图5 1 a p m 的实现4 1 图5 2d e m o 程序包4 2 图5 3 h a s h 表结构4 3 图5 4 通知模块。4 4 图5 5 文件i o 流程4 5 图5 6 增添访问控制模块的文件i o 流程4 5 图5 7 受保护目录的非法访问4 8 图6 1 测试目录5 0 图6 2 对受保护目录的文件非法写访问5 1 图6 3 对受保护目录中文件的非法删除5 2 图6 4 访问时间与访问文件大小的线性关系5 4 第v 页 独创性声明 本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得 的研究成果尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其它 教育机构的学位或证书而使用过的材料与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示谢意 学位论文题目： 么：丑型压竺! ! 毒堡掌三= 兰i 竺兰丝! 翌 学位论文作者签名：二季同l日期：加口夕年月夕e t 学位论文版权使用授权书 本人完全了解国防科学技术大学有关保留、使用学位论文的规定本人授权 国防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子 文档，允许论文被查阅和借阅；可以将学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文 学位论文题目：么量 五堕幺重垒垂妥鸣左当皇穹蔓基互址 学位论文作者张贴 魄彳年步月z 日 作者指导教师签名：医i ：乏亟日期：抄多年厶月2 日 ?| 国防科学技术大学研究生院_ t 学硕十学位论文 第一章绪论 1 1 课题背景 2 0 0 8 年5 月，公安部公共信息网络安全监察局举办了2 0 0 8 年度信息网络安全 状况与计算机病毒疫情调查活动，调查内容为2 0 0 7 年5 月至2 0 0 8 年5 月我国联 网单位发生网络安全事件以及计算机用户感染病毒情况。调查统计了各种安全事 件在所有的安全事件中所占有的比例，如1 1 所示： 图1 1 网络安全事件类型【1 1 分析图1 1 可以得知：受蠕虫、病毒、木马等恶意程序感染而发生的安全事件， 在所发生的所有的安全事件中占有很大的比例。从恶意程序造成破坏的情况来看， 可以分为以下几种情况： 1 ) 数据受损或丢失 2 ) 密码、账号被盗 3 ) 受到非法远程控制 4 ) 系统使用受限 5 ) 浏览器配置被修改 6 ) 网络无法使用 调查显示，数据受损或丢失在恶意程序所造成的破坏中占很重的比例，如图 1 2 所示。 应用程序也是恶意程序重要的破坏目标之一，安装在计算机系统中的应用程 序文件应该受到保护。应用程序文件被破坏和篡改，将导致应用程序行为被更改， 或者应用程序不可运行。 第1 页 国防科学技术大学研究生院1 = 学硕士学位论文 丑 鑫 ； 铲“。j j 一。4 。；j 。 。? 嘞 2 0 1 5 士址 l o ，b s h； 施貔锄 黼觥 图1 2 恶意程序破坏情况【1 】 综上所述，研究应用程序的保护理论和技术，具有重要的理论意义和现实应 用价值。本文将对此问题展开研究。 1 2 研究现状 对保护应用程序进行的研究工作，主要集中在对病毒、蠕虫、木马等恶意程 序的防御方面。当前，国内外针对恶意程序的防御展开了广泛的研究，目前主要 从以下三个方面开展研究：防恶意程序硬件的研究、防恶意程序操作系统的研究、 防恶意程序应用软件的研究。下面分别对这三个研究领域中的一些关键技术进行 讨论。 1 2 1 基于硬件的防恶意程序技术 基于硬件的防恶意程序技术包括以下两类：自安全存储设备【2 】【3 】【4 】【5 1 、安全芯 片技术【引。 1 2 1 1 自安全存储设备 防止入侵者进行诸如私自篡改或者永久删除存储数据这类攻击行为是自安全 存储设备的主要目标。但是，由于用户身份和操作系统身份可以被入侵者取得， 所以，认为包括存储器自身的由操作系统所控制的资源不可靠。操作系统所管理 的资源中不包括自安全存储设备【4 儿5 1 ，自安全存储设备把操作系统以及用户看作不 可以信任的实体对象。自安全存储与主机控制备份存储之间有以下区别：入侵者 不可能通过复杂的操作系统或者它们的用户账号绕过备份软件，而必须经由单一 设备，而该设备仅仅提供单一存储接口。 由于自存储设备还是基于操作系统，所以有自身无法弥补的缺陷： 第2 页 国防科学技术大学研究生院工学硕士学位论文 1 ) 自安全设备无法及时防御攻击行为。因为根据其原理，必须在攻击入侵行 为发生之后，入侵检测系统才能检测到，才能进一步采取恢复措施。 2 ) 自安全存储设备需要巨大磁盘空间。由于需要对操作记录和数据备份，短 短几周就可能耗光上百g b 容量的磁盘，并且也会影响系统性能。 1 2 1 2 安全芯片技术 当前国内外正在研究，并即将推广应用的主要安全芯片技术是：可信平台模 块t p m 和l a g r a n d e 技术【6 j 。 可信计算组织t c g 定义了具有安全存储和加密功能的t p m ( 可信平台模块) 标 准，并于2 0 0 1 年1 月3 0 日发布了基于硬件系统的“可信计算平台规范1 o 版标 准。该标准通过在计算机系统中嵌入一个可抵制篡改的独立计算引擎，使非法用 户无法对其内部的数据进行更改，从而确保了身份认证和数据加密的安全性，2 0 0 3 年1 0 月发布了1 2 版标准。微软和i n t e l 合作研究的下一代安全计算机采用了该 标准，国内著名的i t 厂商如联想、同方等均已推出或正在推出符合t c g 国际标准 的安全p c 。 l a g r a n d e 技术是i n t e l 和微软n g s c b 的一项合作计划，他们试图共同打造下 一代的安全计算机。l a g r a n d e 技术所针对的是硬件部分的安全保护。当与可支持 l a g r a n d e n g s c b 技术的操作系统和应用程序相互配合时，l a g r a n d e 机制就可以 在硬件层面上直接保护计算机系统中数据的机密性和完整性。尽管软硬件结合的 机制让l a g r a n d e n s c s b 可联手构建出高安全性的操作环境，但它们的实现条件 也变得异常的苛刻，普及应用存在不可预知的障碍。 1 2 2 基于操作系统的防恶意程序技术 基于操作系统的恶意程序防御技术主要包括：安全操作系统【7 l 【8 1 9 1 和访问控制 技术。 1 2 2 1 安全操作系统 通过制定标准来核定软件的安全级别，软件的安全级别越高，则用户的个人 数据受到的保护程度也就越高。同样，根据不同安全级别的标准来制定的操作系 统软件，能达到不同的安全级别。出现过两种标准：美国和许多其他国家使用的 安全等级标准c c ( c o m m o nc r i t e r i a ) t l o 】，以及影响w i n d o w s 设计的安全等级标准 t c s e c ( t r u s t e dc o m p u t e rs y s t e me v a l u a t i o nc r i t e r i a ，即可信计算机系统评估标准) 。 美国国家计算机安全中心( n c s c ) 是美国国防部( d o d ) 的国家安全局( n s a ： n a t i o n a ls e c u r i t ya g e n c y ) 的一部分。n c s c 的一个目标就是建立一个安全等级范 围。表1 1 指明各个等级以及相应的要求。 第3 页 国防科学技术大学研究生院工学硕士学位论文 表1 1 指明商用操作系统、网络组件和可信应用程序所提供的保护程度。保护 程度等级构成t c s e c 标准，高保护程度建立在低保护程度之上，加入了更为严格 的保护和验证要求。人们常见的操作系统中，w i n d o w sn t 操作系统达到了c 2 等 级，一些u n i x 平台的操作系统能达到c 1 等级。真正达到理论上比较可信的“验 证设计级”( a 1 级) 的产品国际上尚未见报道。伴随着信息技术的发展和应用领 域的拓展，信息技术安全测评标准也不断的更新和发展。 表1 1t c s e c 安全等级【1 等级说明 a l 可检验的设计 b 3安全域 b 2结构化的保护 b 1分类的安全保护 c 2 受控制的访问保护 c l自主访问保护 d最少的保护 1 9 9 6 年1 月，美国、英国、德国、法国、加拿大和荷兰发布了他们联合开发 的c c i t s e ( c o m m o nc r i t e r i af o ri n f o r m a t i o nt e c h n o l o g ys e c u r i t ye v a l u a t i o n ) 安全评 估规范。c c i t s e 通常称为c c ( c o m m o nc r i t e r i a ) ，经过多次改版，现在已经成为 国际通用的信息安全测评标准。c c 比t c s e c 信任等级更加灵活，但结构上更加 接近i t s e c 。 安全操作系统的研制难度很大，其根本原因在于操作系统结构复杂、代码规 模极其庞大。按照a 1 级要求，系统开发必须包括一个严格的设计、控制和验证过 程，要运用数学证明方法加以验证，而且必须进行秘密通道和可信任分布的分析。 操作系统的复杂和庞大规模与此是相违背的。在目前的技术条件下，操作系统的 安全性是不容易让人信服。 1 2 2 2 访问控制技术 传统的访问控制策略【1 2 】【1 3 】主要有以下几种：强制访问控制策略( m a n d a t o r y a c c e s sc o n t r o l ，简称m a c ) t 1 4 】、自主访问控制策略( d i s c r e t i o n a r ya c c e s sc o n t r o l ， 简称d a c ) 1 5 】、基于角色访问控制策略( r o l e b a s e da c c e s sc o n t r o l ，简称r b a c ) 1 7 1 1 1 8 】【1 9 】【2 0 1 和分级信息访问控制的b e l l & l a p a d u l a 模型2 1 】【2 2 1 1 2 3 1 1 2 4 1 。 在讨论各种访问控制策略之前，先介绍s u b j e c t ( 主体) 、o b j e c t ( 客体) 【1 6 】的概念。 主体是提出访问要求的对象，客体是接受访问的对象。主体有主动性，客体有被 动性，主体与客体之间可以相互转换。 1 、m a c 第4 页 国防科学技术大学研究生院t 学硕十学位论文 m a c ：系统中所有对象有相应的等级标记，等级是根据对象所包含信息的敏 感度来划分的。当主体访问客体时，根据二者所处的等级来判断访问是否被许可。 m a c 的缺点：每次访问都需要比较主体和客体的等级标记，实现过于繁琐。 2 、d a c d a c 系统中的对象属于唯一用户，对象属主有访问该对象的所有权限，并 且可以把权限传递给其他用户，d a c 通过访问控制列表( a c c e s sc o n t r o ll i s t ，简称 a c l ) 实现。 d a c 的缺点：由于对象的属主可以授权其他用户访问该对象，信息可从高级 别对象流向低级别对象，造成信息泄密。 3 、i 出a c r b a c ：根据用户在机构中所担任的角色来决定他所拥有的访问对象的权限。 例如，会计与出纳角色不同，他们在实现的应用系统中访问权限也不同。同样对 于医生和护士，医生有开处方的权限，并且医生不能把该权限授予给护士。r b a c 与d a c 的区别在于：用户不能任意的把访问权限授予给其他用户。 属孚同 1 一 图1 3 基于角色访问控制原理 图1 3 说明了基于角色访问控制的基本原理。角色1 有访问对象l 、对象2 的 权限，用户1 、用户2 、用户3 属于角色1 ，这些用户拥有访问对象1 、对象2 的 权限。基于角色访问控制策略就是在用户和访问对象之间，增加角色的概念，给 角色分配访问权限，根据用户的职能给以相应的角色。把用户和访问的对象分开， 用户看到的不再是对象，而是角色。用户不直接操作对象，给系统带来好的安全 性和层次感。 4 、b e l l & l a p a d u l a 模型 b e l l & l a p a d u l a ( b l p ) 模型，要解决的根本问题是：对具有密级划分的信息进行 访问控制。该模型中所有的实体使用安全级别标识，安全级别与实体的密级相对 应。b l p 模型由一个四元组( b ，m ，h ) 定义。以下说明b l p 模型中各元素的意义： 1 ) b ：当前访问集合。当前访问由三元组( 主体，客体，访问方式) 表示，是当 前状态下允许的访问。访问方式有e ( 执行) 、r ( 读访问) 、a ( 追加) 和w ( 写访问) 。 2 ) m ：访问控制矩阵。规定主体能以种或几种访问方式访问客体，如图1 4 所示。 第5 页 圃回 号田 国防科学技术大学研究生院工学硕士学位论文 o b j e c t s u b j e c t o j s i a ，w 图1 4 访问控制矩阵 3 ) f 安全级函数。 4 ) h ：客体之间的层次关系。 b l p 模型的安全性质： 简单安全性质( s s - p r o p e r t y ) 对于访问矩阵m 中每一访问三元组( s u b j e c t ， o b j e c t ，a t t r i b u t e ) ，如果a t t r i b u t e = r ，则s u b j e c t 的安全级别支配o b j e c t 的安全级 别。 图1 5 所示，只具有s s - p r o p e r t y 安全性质的b l p 模型，信息能从高级别客体 流向低级别客体。一个恶意主体有对客体1 的读访问权，同时有对客体2 的写访 问权。但是客体l 的级别高于客体2 的级别，当恶意主体把从客体1 中读到的信 息写到客体2 时，就造成了信息从高级别客体流向低级别客体。 图1 5s s p r o p e r t y 的缺陷 星型安全性质( 幸p r o p e r t y ) ：当一个主体同时读客体1 和写客体2 时，客体2 的安全级别必须支配客体l 的安全级别。 一p r o p e r t y 是为了消除只具有s s - p r o p e r t y 时，模型所存在的缺陷而提出。 自主安全性质( d s p r o p e r t y ) ：对于每一个当前访问三元组( 主体i ，客体j ，访问方 式x ) ，则访问方式x 一定在访问控制矩阵m 的元素m i i 中。 基本安全定理：如果系统的每次状态变化满足s s p r o p e r t y 、* - p r o p e r t y 和 d s - p r o p e r t y ，那么系统在整个状态变化过程中，安全性不会被破坏。 第6 页 国防科学技术大学研究生院工学硕士学位论文 采用访问控制策略实现的操作系统，尤其是根据b l p 模型实现的系统，有高 级别的安全性。因此，访问控制策略被应用到各种系统的设计过程中。 1 2 3 基于应用软件的防恶意程序技术 基于应用软件的防恶意程序技术主要有反病毒软件【2 5 】【2 6 】【2 7 】【2 8 】、沙盒( s a n d b o x ) 技术等。 1 2 3 1 反病毒软件 反病毒软件的种类很多，所采用的原理也不相同。下面从恶意程序出发，讨 论反病毒软件的特点和缺陷。 病毒有属于自身的特有的签名【2 9 i d o l 。签名用来避免重复感染同一文件，重复 感染可使文件大小变化明显，不利于病毒的潜藏。 同一种病毒有相同的指令和变量名称。病毒是程序，程序由数据和代码组成， 代码和数据在程序中是以指令和变量、常量的形式存在。相同的程序就有相同的 指令和变量名称。 当前的反病毒软件根据病毒程序的特征来采取防御策略。扫描系统中的文件， 把文件中是否含有病毒特征码作为查杀的根据。或者根据程序是否有某些行为， 来判断程序是否含有恶意。由于判断的依据不充分，给反病毒软件带来缺陷。 当前反病毒软件有如下缺点： 1 ) 防御滞后于灾难的发生。根据上面分析反病毒软件的特点得知，只有在病 毒疫情爆发后，才能制定相应的防御策略，反病毒软件是一种亡羊补牢的策略。 2 ) 反病毒软件判断不准，会错误的查杀非恶意的应用程序。 部分反病毒软件是根据程序的行为来判断是否禁止该程序的运行，例如，程 序是否访问注册表某些键值，程序是否会访问可执行文件，并在访问后增加了文 件的大小等等。恶意程序有这些行为，而正常的程序也可能有类似的动作。但是 把后者当成恶意程序，不是反病毒软件的初衷。 3 ) 反病毒软件需要定期的升级，打补丁。 1 2 3 2 沙盒技术 为了解决a p p l e t 的安全问题，提出了( s a l l d b o x ) 沙盒技术【3 1 】【3 2 1 【3 3 1 。它的基本思 想是：认为从远程下载到本地执行的a p p l e t 程序不可信任，不能让其访问计算机 上所有资源，而只是让它访问沙盒里所规定的资源。随着安全问题日益加剧，最 后认为本地的代码也不可信任。如是，把沙盒的思想扩展到本地代码中，对本地 代码所能访问的资源也做了限制。 s a n d b o x 缺陷：s a n d b o x 的使用范围有限，只能用于j a v a 虚拟机中，并且沙 第7 页 国防科学技术大学研究生院工学硕士学位论文 盒所能规定的访问资源有限。 1 3 主要贡献 本文针对w i n d o w s 系统中应用程序文件管理的安全问题和应用程序自身所面 临的安全问题，提出了一种应用程序保护模型，从而提高系统中应用程序文件的 安全性。所做的工作如下： 1 ) 分析了w i n d o w s 系统中，应用程序文件的管理问题和应用程序自身所面临 的安全问题。w i n d o w s 系统设置了系统管理员，而系统管理员权限过大，从而带来 安全问题。w i n d o w s 使用注册表来管理应用程序，注册表一旦被破坏，会引起程序 不可运行。应用程序由自身引起的问题有：应用程序文件存放混杂、程序文件和 数据文件没有分别对待、应用程序卸载不完全、程序运行过程中创建临时文件给 系统带来安全性问题，等等。 2 ) 提出了一种应用程序保护模型( a p p l i c a t i o np r o t e c t i o nm o d e l ，简称a p m ) ， 证明了模型所具有的安全性质。模型以一定的合理假设为基础，对应用程序的安 装过程做合理假设，以便给出应用程序包的形式化定义。应用程序文件保护模型 为控制对受保护文件的访问制定了文件访问规则，从而达到保护应用程序文件的 目的，并为安全性质的证明提供理论依据。 3 ) 给出应用程序文件保护模型在w i n d o w s 系统中的实现方案，并讨论了实现 该方案所采用的关键技术。 4 ) 分析了文件型病毒和脚本病毒的感染原理和流程。绘制了p e 文件病毒的 感染流程图，给出了病毒恶意程序有访问文件的行为的结论。 5 ) 对a p m 的实现进行攻击测试和性能测试。在性能测试中借助于简单线性 回归模型这一数学工具，分析性能测试所得数据，得出模型的实现对系统性能影 响很小的结论。 1 4 论文结构 全文分为六章： 第一章，绪论。对课题的背景、国内外当前的研究现状、以及课题的创新点 加以说明。 第二章，恶意程序对应用程序文件的攻击分析。分析两种病毒程序的原理， 详细的分析了文件型病毒的感染流程、感染所采用的关键技术。得出恶意程序有 访问文件的行为的结论，为构建应用程序保护模型提供理论依据。 第三章，安全威胁分析。分析了当前w i n d o w s 系统所存在的安全问题、应用 第8 页 国防科学技术大学研究生院工学硕士学位论文 程序自身所面临的安全问题和w i n d o w s 所采用的管理机制注册表的问题。 第四章，应用程序保护模型。所提出的应用程序保护模型应用了基于用户意 愿访问控制策略( i n t e n s i o n b a s e da c c e s sc o n t r o l ，简称i b a c ) 的基本思想。所以， 先对i b a c 做简单的描述。然后给出了构建模型所需的假设条件和定义，并构建了 模型。最后，根据模型中的规则证明应用程序保护模型所具有的安全性质。 第五章，应用程序保护模型的实现。提出了模型的实现方案和系统结构，说 明组成实现模型的各个模块功能，并讨论了基于w i n d o w s 系统的实现所采用关键 技术。 第六章，模型测试。测试验证实现的模型的功能，以及模型的实现给操作系 统带来的性能影响。 第七章，结束语，对全文的工作进行了总结，对进一步的工作进行了展望。 第9 页 国防科学技术大学研究生院1 = 学硕士学位论文 第二章恶意程序对应用程序文件的攻击分析 应用程序文件可能因为计算机用户操作不当，被非故意破坏和删除。但是， 应用程序文件被破坏的主要原因是受到恶意程序的攻击。对恶意程序进行分析， 有利于提出保护应用程序文件的策略。本章首先分析p e 文件病毒，讨论p e 病毒 对文件的破坏和感染流程，然后，讨论脚本病毒的原理，并分析脚本病毒实例 v b s l o v e l e t t e r 。 2 1 1p e 文件结构 2 1w i n 3 2 文件病毒 w i n 3 2 可执行文件有宰e x e 、枣d l l 、* o c x 等。w i n 3 2p e 病毒，就是针对这些 可执行文件进行感染和传播的。w i n d o w s 中的p e 文件有固定的格式结构，其中有 一些是病毒程序感兴趣的关键数据结构字段。p e 文件的格式如图2 1 所示。 图2 1p e 文件结构副3 4 1 p e 文件由文件头、节表、节组成。文件头和节表用来定位节在内存映射文件 中的地址，文件的数据保存在不同的节中，根据数据的属性，节分为代码节、数 据节，资源数据节等等。节表中保存了各个节在内存中的地址、节的属性、节的 名字。 p e 文件头由i m a g ed o sh e a d e r ，i m a g en th e a d e r 组成。 第l o 页 国防科学技术大学研究生院t 学硕十学位论文 i m a g e d o s h e a d e r 中的e _ m a g i c 字段是m z 标记，表明这是一个与d o s 兼容的可执行文件，el f a n e w 指出了i m a g en th e a d e r 的相对虚拟地址。 i m a g en th e a d e r 是一个数据结构，定义如下： s t u r c ti m a g e n t h e a d e r d w o r ds i g n a t u r e ： d w o r di m a g e _ f i l e _ h e a d e r ； d w o r di m a g eo p t i o n a l _ h e a d e r ； ； s i g n a t u r e ：p e 文件标记，根据此标记判断文件是否为可执行文件。如果值为 “p e 0 0 ，则表明是可执行文件。 i m a g ef i l eh e a d e r ：p e 文件头结构，定义如下： s t r u c ti m a g e f i l e h e a d e r d w o r dm a c h i n e ； w o r dn u m b e r o f s e c t i o n ； w o r ds i z e o f o p t i o n a l h e a d e r ； d w o r dc h a r a c t e r i s t i c s ； ) ； m a c h i n e ：文件的运行平台。 n u m b e r o f s e c t i o n ：p e 文件中节的数目、节表的数目。 s i z e o f o p t i o n a l h e a d e r ：可选文件头所占用的空间大小。 c h a r a c t e r i s t i c s ：文件属性，是不是一个d l l 文件等。 i m a g e o p t i o n a l e a d e r ：可选文件头结构，是p e 文件头的补充，定 义如下： s t r u c ti m a g eo p t i o n a lh e a d e r d w o r da d d r e s s o f e n t r y p o i n t ； d w o r d i m a g e b a s e ； w o r d s e c t i o n a l i g n m e n t ； w o r df i l e a l i g n m e n t ； d w o r dd a t a d i r c t o r y ； ) ； a d d r e s s o f e n t r y p o i n t ：可执行文件的执行入口。 i m a g e b a s e ：文件被映射到虚存的基地址，文件头结构中所存地址，都是相对 虚拟地址，保存的地址是相对于i m a g e b a s e 的偏移量。 第1 1 页 国防科学技术大学研究生院工学硕士学位论文 s e c t i o n a l i g n m e n t ：节在内存中对齐单位。 f i l e a l i g n m e n t ：节在磁盘文件中对齐单位。 d a t a d i r c t o r y ：一个保存文件中各个节的起始相对虚拟地址和节的大小的结构， 由1 6 个i m a g ed a t ad i r e c t o r y 组成。 节属性定义在节表中，s e c t i o n 由一系列的i m a g es e c t i o nh e a d e r 组成， i m a g es e c t i o nh e a d e r 的结构如下： s t r u c ti m a g e d a t a d i r e c t o r y b y t e n a m e l ；占用8b y t e s d w o r dv i r t u a l s i z e ； d w o r dv i r t u a l a d d r e s s ； d w o r ds i z e o f i b w d a t a ； d w o r dp o i n t e r t o r a w d a t a ： d w o r dc h a r a t e r i s t i c s ； n a m e l ：节的名字。 v i r t u a l s i z e ：节的大小，该大小不经过任何对齐。 v i r t u a l a d d r e s s ：节装载到内存中的r v a 。 s i z e o f r a w d a t a ：节在磁盘文件中的大小。 p o i n t e r t o r a w d a t a ：节在磁盘文件中所处的位置。 c h a r a t e d s t i c s ：节属性标志，与文件属性标志不同，标记节的访问属性：可读、 可写、可执行等等。 2 1 2 原理 p e 病毒所采用的主要技术有以下方面： 1 ) 代码重定位。程序在编译后，程序中的变量在内存中位置被确定。病毒编 译完成，则病毒所定义的变量的位置固定下来。但是，病毒会感染其他程序，会 把自身插入到其他程序的映像文件，并且插入的位置可能不同。所以被感染的文 件被加载到内存时，开始定义的变量在被感染程序中的位置会发生变化。代码重 定位，就是要在受感染的程序中正确找到原来病毒中定义的变量的位置。 图2 2 变量v a r l 在未受感染程序中的位置 第