阅读:4405回复:15
我的一个防病毒的新思路:基于软件行为控制的系统安全。 和大家讨论讨论,共同提高
我为了完成一篇论文,花了半年左右做了一个有关软件行为控制方面的软件,想听听大家的的看法。
此软件的主要的思想是: -------- 背景: 当前市面上的杀毒软件基本都是居于特征码判别技术的,所以必须要等病毒出现后,再分析得到其特征码后才能进行防杀,病毒一升级,又得再分析,始终跳不出病毒出现->病毒库升级->病毒变化->病毒库再升级的怪圈。可能也正是这个原因,杀毒市场才会这么火爆^_^,但如果某款杀毒软件能够拥有强大的预防未知病毒的能力,无疑会得到广大用户的追捧。 -------- 主要思路: 我分析了部分现在比较流行的病毒,发现虽然大部分病毒的能力,目的不同,但是它们的传播手段基本一致,基本都是通过某些软件的漏洞(IE,OE最多)进行攻击,使其产生异常行为,下载或执行恶意代码进行破坏活动,而从系统角度看,是这个软件进程作了这些破坏活动,即这些破坏活动的表现者为这个软件。 软件是我们用来解决某类问题的工具,所以对于任何一个软件来说,它的行为是可以被预知的。举个例子来说:IE是一款网页浏览器,对于大部分用户来说,是不会使用IE来启动其它程序的(例如:cmd.exe,format.exe等),不会修改注册表启动项,不会修改系统配置等,所以如果我们针对IE制定这样一个行为规则: 1. 不能创建修改.exe文件 2. 不能执行其它进程 3. 不能修改注册表启动项 假设IE存在一个未知的漏洞,并且Microsfot还没有发布补丁,此时当一种新病毒企图利用这个未知漏洞来下载病毒程序,修改注册表启动项,并执行病毒程序进行破坏活动时,就会被及时被阻止。也就是说,虽然软件的未知漏洞是不可预防的,但是我们可以通过根据此软件的功能及目的性,制定此软件的行为规范,控制并阻止此软件的异常行为,从而在最大程度上降低由于软件的未知漏洞而给系统带来的安全威胁。 综上所述,通过软件行为的控制,可以大大增强系统抵御未知病毒攻击的能力,在出现病毒,但是杀毒软件还没有能力查杀此病毒的这段最具威胁性的时间里,给用户提供最大的保护。 --------- 具体实现: 基于软件行为控制的思想,我开发了一个名为CAT System Monitor的系统监视软件,此软件的目前实现的功能如下: 1. 监控进程的文件读,写,改名及删除操作(File System Filter Driver技术) 2. 监控进程的注册表的读,写,改名及删除操作(Native API Hook技术) 3. 监控进程的执行其它程序的能力,即是否可以运行其它可执行程序(Native API Hook技术) 4. 监控进程的网络访问操作(NDIS hook技术) 5. 监控进程的其它操作,包括终止其它进程,创建/关闭系统服务, 向其它进程发送消息,注入代码到其它进程中及修改其它进程空间数据(Native API Hook技术及API Hook技术) 正在开发的功能: 1. 监控进程的抓取其它进程窗口文本的能力 2. 监控进程的注入windows全局钩子的能力 3. 软件的自身保护能力, 包括防止钩子的入侵,键盘输入保护,文件读写加密 4. CAT System Monitor自身配置的密码保护功能 注: 我申请了一个免费的主页来讨论这个问题,请大家访问 http://home4u1.china.com/HOME13/40/40/30/80/29/0000944382/index.html 查看详细内容。 我的MSN号是huangzg2005@hotmail.com,QQ: 4167254. 欢迎大家和我联系探讨技术问题。 |
|
最新喜欢:Leopar... |
沙发#
发布于:2005-07-12 20:10
不会意思,最近出差,请和我MSN联系
|
|