代碼注入攻擊是計(jì)算機(jī)系統(tǒng)安全領(lǐng)域面臨的重要問(wèn)題之一�；谥鳈C(jī)的代碼注入攻擊（HBCIA,Host-Based Code Injection Attacks）相比于早期的代碼注入攻擊,因其攻擊方式的隱蔽性和復(fù)雜性,給用戶(hù)計(jì)算機(jī)系統(tǒng)帶來(lái)了巨大的威脅。在基于主機(jī)的代碼注入攻擊中,注入者實(shí)體和受害者實(shí)體同為駐留在同一操作系統(tǒng)上的進(jìn)程,注入者實(shí)體通常利用操作系統(tǒng)提供的系統(tǒng)調(diào)用接口來(lái)對(duì)受害者實(shí)體進(jìn)行代碼注入。為了對(duì)引入基于主機(jī)的代碼注入攻擊技術(shù)的惡意軟件進(jìn)行有效檢測(cè),當(dāng)前業(yè)界公開(kāi)了多種基于主機(jī)的代碼注入攻擊檢測(cè)方法,從動(dòng)態(tài)監(jiān)測(cè)和靜態(tài)檢測(cè)兩個(gè)側(cè)面,在不同的主體和內(nèi)存區(qū)域粒度上對(duì)基于主機(jī)的代碼注入攻擊惡意行為實(shí)施檢測(cè)。其中,基于主機(jī)的代碼注入攻擊內(nèi)存取證方法基于對(duì)內(nèi)存轉(zhuǎn)儲(chǔ)文件的分析來(lái)檢測(cè)基于主機(jī)的代碼注入攻擊,被認(rèn)為是最為實(shí)際有效的檢測(cè)手段之一。本文對(duì)當(dāng)前在內(nèi)存轉(zhuǎn)儲(chǔ)文件中檢測(cè)基于主機(jī)的代碼注入攻擊的主流系統(tǒng)Quincy進(jìn)行了深入研究分析,發(fā)現(xiàn)Quincy系統(tǒng)采用的基于機(jī)器學(xué)習(xí)的基于主機(jī)的代碼注入攻擊內(nèi)存特征方案存在以下問(wèn)題:首先,Quincy系統(tǒng)采用的基于主機(jī)的代碼注入攻擊內(nèi)存特征方案僅考慮與進(jìn)程內(nèi)存... 

【文章來(lái)源】：西安電子科技大學(xué)陜西省 211工程院校 教育部直屬院校

【文章頁(yè)數(shù)】：70 頁(yè)

【學(xué)位級(jí)別】：碩士

【部分圖文】：

內(nèi)存轉(zhuǎn)儲(chǔ)流程圖

第三章 Eugen 組件設(shè)計(jì)關(guān)的特征 anti_forensic。（4）內(nèi)存類(lèi)擴(kuò)充模塊（memory_exp）：該模塊實(shí)現(xiàn)了和惡意軟件隱蔽通信機(jī)制相關(guān)的三個(gè)特征 dga_blacklist，dga，vnc。（5）木馬類(lèi)擴(kuò)充模塊（trojan_exp）：該模塊實(shí)現(xiàn)了和木馬相關(guān)的 5 個(gè)特征，包括傳播機(jī)制（propagation）、重定向（redirect）、數(shù)字貨幣（currency）、地理限制（country）、剪貼板（clipboard）5 個(gè) HBCIA 特征。QuincyEugen

互聯(lián)網(wǎng)控制端主機(jī)圖3.4VNC 反向連接功能木馬類(lèi)擴(kuò)展模塊木馬類(lèi)擴(kuò)展模塊（trojan_exp）中新增特征 trojan_currency、trojan_redirect、trojan_propagation、trojan_country、trojan_clipboard，它們的具體含義如下：特征 trojan_currency：鑒于數(shù)字貨幣匿名交易機(jī)制帶來(lái)的溯源困難性，惡意軟件作者青睞于基于數(shù)字貨幣的竊取和交易，例如利用 HBCIA 技術(shù)的勒索軟件采用數(shù)字貨幣作為解密關(guān)鍵文件的贖金。該模塊首先通過(guò)內(nèi)存解析模塊獲取內(nèi)存轉(zhuǎn)儲(chǔ)文件中的每一個(gè)內(nèi)存區(qū)域，其次查找每一個(gè)內(nèi)存區(qū)域是夠含有與數(shù)字貨幣交易相關(guān)的幣種詞匯，如果有則該內(nèi)存區(qū)域被標(biāo)記為惡性，否則被標(biāo)記為良性。該特征彌補(bǔ)了原木馬類(lèi)中對(duì)數(shù)字貨幣交易特征描述的缺失。特征 trojan_redirect：代碼注入攻擊目標(biāo)實(shí)現(xiàn)的另一個(gè)普遍的機(jī)制是網(wǎng)頁(yè)跳轉(zhuǎn)。木馬軟件通常會(huì)在用戶(hù)訪(fǎng)問(wèn)的各種銀行網(wǎng)頁(yè)代碼中添加惡意的JS代碼，如圖 3.5所示，citadel 木馬會(huì)向從正常的銀行網(wǎng)站返回的頁(yè)面中植入 JS 代碼

【參考文獻(xiàn)】：
期刊論文
[1]內(nèi)存取證研究與進(jìn)展[J]. 張瑜,劉慶中,李濤,吳麗華,石春.  軟件學(xué)報(bào). 2015(05)
[2]防御代碼注入式攻擊的字面值污染方法[J]. 王溢,李舟軍,郭濤.  計(jì)算機(jī)研究與發(fā)展. 2012(11)



本文編號(hào)：3481475