技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體涉及一種基于硬件模擬器的處理隱藏進(jìn)程的方法。

背景技術(shù)

隨著社會的不斷發(fā)展和進(jìn)步，計算機(jī)在社會各個領(lǐng)域的應(yīng)用越來越廣泛。由于軟件漏洞的廣泛存在和用戶安全意識的不足，木馬的傳播速度越來越快，感染范圍不斷擴(kuò)大，造成的破壞日益嚴(yán)重。同時由于底層技術(shù)的研究不斷深入，越來越多的隱藏進(jìn)程手段為木馬所利用。傳統(tǒng)的安全防護(hù)手段由于受分析效率和實現(xiàn)環(huán)境的限制，響應(yīng)周期難以縮短，響應(yīng)速度已經(jīng)逐漸不能適應(yīng)這種新情況。因此，提高對隱藏進(jìn)程的檢測準(zhǔn)確性和分析能力顯得十分必要。

現(xiàn)有的隱藏進(jìn)程檢測工具，如Process?Explorer、IceSword、GMER等，全部依賴于內(nèi)存格式的分析和操作系統(tǒng)底層數(shù)據(jù)的挖掘。在某些情況下，甚至必須對操作系統(tǒng)進(jìn)行修改，如Hook系統(tǒng)函數(shù)，或者通過PsSetCreateProcessNotifyRoutine注冊回調(diào)函數(shù)，才能實現(xiàn)相應(yīng)的功能。而由于對操作系統(tǒng)做修改，本身會引起完整性問題，因此被修改的數(shù)據(jù)補(bǔ)丁或者注冊的函數(shù)很容易被木馬發(fā)現(xiàn)，并產(chǎn)生相應(yīng)的對抗手段。同時由于當(dāng)前的隱藏進(jìn)程檢測和分析工具，都是在跟惡意代碼同一平臺運行，在對系統(tǒng)的控制權(quán)上和惡意代碼產(chǎn)生競爭關(guān)系，不利于準(zhǔn)確而穩(wěn)定的實現(xiàn)檢測與分析。

當(dāng)前的隱藏進(jìn)程檢測技術(shù)，通常使用如下的幾種方法：

1.遍歷EPROCESS表來查找隱藏進(jìn)程

該方法僅限于檢測Ring3級用戶模式隱藏的進(jìn)程，當(dāng)前的木馬一般都會使用斷開EPROCESS鏈表的方法來隱藏自身。因此通過遍歷EPROCESS表的方法在目前幾乎等于無效。

2.遍歷EPROCESS結(jié)構(gòu)中包含的HandleTable雙鏈表來實現(xiàn)隱藏進(jìn)程檢測。

惡意代碼可以將自身的HandleTable從該鏈表上斷開，對運行無影響。

3.遍歷CSRSS中的句柄表。

因為CSRSS進(jìn)程包含其他所有進(jìn)程的句柄，故通過遍歷句柄表的方式可以找到其他進(jìn)程的對象結(jié)構(gòu)。

惡意代碼可以通過擦除CSRSS進(jìn)程中指向自身的句柄來實現(xiàn)進(jìn)程隱藏功能。

4.遍歷操作系統(tǒng)調(diào)度表。

在XP系統(tǒng)上，存在兩個調(diào)度表。KiReadyList和KiWaitList，通過遍歷這兩個鏈表，可以查到當(dāng)前操作系統(tǒng)中都有哪些進(jìn)程處于執(zhí)行狀態(tài)和等待狀態(tài)。惡意代碼可以通過Hook?API的方法將進(jìn)程調(diào)度記錄從這兩個鏈表上摘下。

5.遍歷PspCidTable內(nèi)核句柄表。

該句柄表存放著系統(tǒng)中所有的進(jìn)程和線程的句柄。惡意代碼可以將PspCidTable指向自身的指針清空，這種方法可以實現(xiàn)隱藏，但是會帶來系統(tǒng)的不穩(wěn)定。

6.Hook?SwapContext函數(shù)。

通過Hook?SwapContext函數(shù)，反木馬程序可以獲得操作系統(tǒng)調(diào)用的所有過程，并在這個過程中實現(xiàn)各種隱藏進(jìn)程的檢測。但是這樣存在一個問題，即因為和木馬程序同處在一個平臺上。木馬可以采用覆蓋函數(shù)指令的方法來摘除鉤子。

目前分析隱藏進(jìn)程中惡意代碼的虛擬機(jī)調(diào)試分析方法，應(yīng)用VMware、VirtualPC等虛擬機(jī)系統(tǒng)實現(xiàn)。虛擬機(jī)系統(tǒng)將虛擬指令直接交給本地的真實CPU執(zhí)行，同時自身存在后門。隱藏進(jìn)程中的惡意代碼可通過檢查代碼執(zhí)行時間，或者調(diào)用虛擬機(jī)后門功能的方法判別自己在一個虛擬系統(tǒng)上運行，采取操作隱藏真實功能。

綜上，目前檢測隱藏進(jìn)程的主要缺陷在于：隱藏進(jìn)程和惡意代碼處于同一層次上，容易被惡意代碼檢測并產(chǎn)生相應(yīng)的對抗手段；過度依賴操作系統(tǒng)內(nèi)核數(shù)據(jù)完整性，基于虛擬化的分析技術(shù)虛擬化程度不高，準(zhǔn)確率不高。而分析隱藏進(jìn)程中惡意代碼的方法是使用Hook系統(tǒng)API的方法監(jiān)控進(jìn)程，惡意代碼通過讀取硬盤上系統(tǒng)文件對內(nèi)存中的代碼進(jìn)行覆蓋即可使之失效；虛擬機(jī)調(diào)適方法采用的虛擬機(jī)，依賴本地CPU，而不能模擬多種CPU。

發(fā)明內(nèi)容

本發(fā)明提供一種基于硬件模擬器的處理隱藏進(jìn)程的方法，通過構(gòu)建惡意代碼運行環(huán)境，操縱和控制模擬CPU指令和各種模擬硬件的訪問操作，硬件模擬器中的數(shù)據(jù)采集模塊收集系統(tǒng)中所有進(jìn)程的信息，以CR3為標(biāo)志，檢測隱藏進(jìn)程；監(jiān)控所有進(jìn)程的運行過程，從虛擬內(nèi)存中直接提取惡意代碼鏡像，分析監(jiān)控數(shù)據(jù)，并以HTML或SQL格式輸出。

一種基于硬件模擬器的處理隱藏進(jìn)程的方法，其步驟如下：

1、按照目標(biāo)文件在硬盤上的數(shù)據(jù)塊排序，將數(shù)據(jù)塊順次添加到虛擬硬盤，轉(zhuǎn)換為硬件模擬器識別的操作系統(tǒng)鏡像；