群-windows安全防御加固系统

1、2014 年大学生作品简介竞赛作品名称：Windows 安全防御加固系统电子邮箱：提交日期：2014 年 5 月 31 日填写说明1. 所有参赛项目必须为一个基本完整的设计。参赛作品简介旨在能够清晰准确地阐述（或图示）该参赛队的参赛项目（或方案）。2. 参赛作品简介采用A4纸撰写。除标题外，所有内容必需为宋体、小四号字、1.5倍行距。3.参赛作品简介不超过6页A4纸。4.参赛作品简介模板里已经列的内容参考，作者也可以多加内容。5.为保证网评的公平、公正，作品简介中应避免出现作者所在学校、院系和指导教师等的信息。一. 概述的到来，微软宣布停止对WindowsXP系统提供更新服务，系统安全巨大的，

2、尤其在我国，WinodwsXP操作系统仍然占据企业用户，政府机关，学校，网吧的半壁。，在互联网广为的“XP赛”吸引了国内高水平的关注，可见，在接下来的很长一段时间里，对XP系统的安全研究仍是市场上一个值得深入的领域。通过对WindowsXP系统以及常见木马的保护模式，可疑行为的研究，在此基础上针对(Windows系统服务表)SSDT，（文件微过滤驱动）Minifilter的方式进行系统文件系统底层的保护。对可执行文件进行静态扫描，结果与木马常见的静态特征进行比对（特殊区段名，行为函数序列，程序点异常，数字签名认证），通过Wu-Manber算法对区段名串，函数序列串进行模式匹配，提高查找效率。对

3、系统表启动项，服务启动项分析，研究设计并实现了一个Windows安全防御加固系统WindowsSafeDefender，用于Windows系统的的与识别，可疑文件行为的，从而实现整个系统安全防御加固。二. 相关工作目前国内安全厂商针对系统防御主要提供两种解决方案：杀毒安全卫士，安全卫士的功能大同小异，主要提供系统文件，上网，注册表等，杀毒主要采用的技术是特征码匹配，云查杀，主动防御，沙箱，虚拟机指令等。各有优势和劣势。本程序属于杀毒辅助应用程序，主要用于对文件分析和系统防御。三. 本作品研究的内容1）程序的特征定位实际上，随着应用程序开发的需要，正常的程序和程序都会使用相同的编程技术，但是随着

4、对一些样本进行分析，得出以下几个要素a 最后一个区段为代码段：正常程序的代码段通常位于首位，后面的区段绝大多数情况下没有可执行权限，程序通过加壳，区段，免杀等导致区段异常，比如骇客们在修改特征码时，为了方便起见，会将含有特征码的代码变形并移动到非代码段b 可疑的代码段名称：区段名是微软与编译器约定俗成的规定，虽然每个编译器之间可能略有不同但是不至于太花哨，出现诸如.upx 或者.shaoo等情况一定是被修改的c 导入表项存在异常：导入了可用于完成某个特定行为的API序列2）Anti-Rootkit与Minifilter文件过滤驱动a.Anti-Rootkit之SSDT:全称是（System S

5、erviDescriptor Table）系统服务描述符表，它是Windows操作系统中被程序利用最广泛的关键表。处于用户模式下的程序可以通过系统调用机制借助SSDT找到内核函数，进而实现Ring3到Ring0的转换。的木马程序为了更加顽固的扎身系统，不被用户发现，往往通过SSDT Hook 进行进程隐藏，文件隐藏，进程保护，端口隐藏等b.Minifilter文件过滤驱动:是微软极力的一种新型过滤模型，相对于Sfilter模型具有更好的兼容性，实现了用户态与态的双向通信机制，打破了传统的CDO，共享内存等方式，更加安全，程序员可以花的精力去处理逻辑，而不必关心复杂的IRP包。3）Wu-Manb

6、er算法Wu-Manber是BM算法的派生，利用相同的散列函数在匹配阶段选择可能匹配的字符串，在预处理阶段对匹配的模式串集合进行了划分，将所有末尾块字符的散列值相等模式串集中在一起在这个散列值指定的散列表的表项中。4）系统文件研究分类通过对常见木马的分析，受灾最严重的是System32文件夹，数量庞大的文件给木马提供了容身之所，为此，程序给系统文件进行了分类，分为系统原生应用类（记事本，计算器，画图等）,系统安全控制类（控制台，注册表管理等）以及系统库（kernel23.dll,user32.dll等）,存取文件特征md5进数据库，全盘扫描。可以防御粘滞快捷键，后门替换等启动方式。5）系统设计

7、四. 程序界面以及1.程序主界面2.见作品五. 创新点总结程序的查杀和识别是十分复杂的一个安全分支，难度也很大，主要是形式化多样，木马，蠕虫，者，后门，同时又有各种免段，加壳，花指令，反调试，驱动保护，大大增加了查杀的难度。在实现有关WindowsSafeDefender的时候对此做了详细的分析，具体实现难度和创新点有以下几点:1）综合研究诸多程序的执行行为通过对木马的免法进行深入研究，使用加壳工具进行样本比对分析，这些S特征被列入，大多数的正规具有合法的签名且没有加壳，就是那些程序为了保护自身不被逆向分析，通过各种类似于的保护机制诸如反调试，压缩，加密等。结合了诸多程序的执行行为，比如线程注

8、入，表相关函数，搜索系统进程等行为。通过对木马的样本分析，得出了木马自我保护的常用手法，区块异常，异常，导入表异常等特征。2）内核级开发和文件系统微过滤驱动从属于系统内核级别的开发工作，在开发环境搭建，调试过程中系统蓝屏，驱动分析，相关资料缺少的情况下，克服重重，完成了驱动保护模块。从系统底层行为的文件操作，恢复用户层和内核层通信的完备性。3）基于Wu-Manber模式匹配算法:考虑到程序若使用现在流行的加壳工具以及手法后出现的特征，利用Wu-Manber算法结合上述（1）的研究成果，大大提高了程序处理特征匹配的效率。4）系统文件功能划分系统目录是各大木马的藏身指点，对系统功能划分可以让用户对系统文件功能有所了解，同时也可以防御粘滞快捷键，文件替换，后门替换等手法。1. 六. 未来工作针对当前Windows操作系统安全，设计并实现了本程序，目前已经实现了预期的功能，达到了基本的检测和防护的目的，但是由于时间和能力有限，很多内容还有待加入，Windows内核安全防护，程序查杀是难度深，广度大的方向，只是研究了系统服务表以及文件微过滤驱动，对于网络驱动诸如NDIS，TD