研究當(dāng)今惡意程序的發(fā)展趨勢(shì)，系統(tǒng)比較了在注冊(cè)表隱藏和檢測(cè)方面的諸多技術(shù)和方法，綜合分析了它們存在的不足，提出了一種基于注冊(cè)表Hive文件來進(jìn)行惡意程序隱藏檢測(cè)的方法，使得針對(duì)惡意程序的檢測(cè)更加完整和可靠。實(shí)驗(yàn)表明，該方法可以檢測(cè)出當(dāng)前所有進(jìn)行了注冊(cè)表隱藏的惡意程序。
關(guān) 鍵 詞 Hive文件; 惡意程序; 注冊(cè)表隱藏和檢測(cè); RootKit程序

惡意程序，尤其是間諜軟件和Rootkit，已經(jīng)成為了計(jì)算機(jī)安全領(lǐng)域重點(diǎn)防范的對(duì)象。從惡意程序的發(fā)展來看，具備一定的信息隱藏功能已經(jīng)成了一種趨勢(shì)。隱藏的信息中包括了注冊(cè)表、進(jìn)程和端口等。這些信息的隱藏在延長(zhǎng)惡意程序的生存周期，加大檢測(cè)它們難度的時(shí)候，也暴露了惡意程序的蹤跡。與此同時(shí)，針對(duì)惡意程序的檢測(cè)技術(shù)也在不斷的提高中并形成了理論體系。常見的惡意程序的檢測(cè)方法包括了啟發(fā)式分析法和特征碼比較法等。但隨著惡意程序隱藏技術(shù)的提高，使得對(duì)它們的檢測(cè)越發(fā)困難，傳統(tǒng)的方法和技術(shù)已經(jīng)不能適應(yīng)發(fā)展的需要。 [1][2][3]
本文的研究表明，就現(xiàn)有的惡意程序?qū)崿F(xiàn)而言，不管其如何隱藏，其最終實(shí)現(xiàn)依然是在操作系統(tǒng)框架內(nèi)并且依賴于系統(tǒng)提供的某些功能。在Windows系統(tǒng)下，惡意程序的存在和運(yùn)行大都離不開系統(tǒng)注冊(cè)表中的相關(guān)信息。惡意程序也常常隱藏于注冊(cè)表，因此不可能真正刪除它們。但可以通過獲取系統(tǒng)注冊(cè)表的可靠原始信息檢查隱藏項(xiàng)，進(jìn)而獲知惡意程序的存在，并最終清除惡意程序。[4]
1 注冊(cè)表隱藏及檢測(cè)
注冊(cè)表是Windows系統(tǒng)存儲(chǔ)關(guān)于計(jì)算機(jī)配置信息的數(shù)據(jù)庫，包括了系統(tǒng)運(yùn)行時(shí)需要調(diào)用的運(yùn)行方式的設(shè)置，是系統(tǒng)的核心。操作系統(tǒng)是用特殊的文件(Hive文件)[5]來存儲(chǔ)注冊(cè)表的內(nèi)容，并提供給用戶相關(guān)的編程接口(APIs)來進(jìn)行注冊(cè)表的操作，例如Advapi32.dll中的Registry Functions(如：RegEnumKey)。同時(shí)，在Windows操作系統(tǒng)中，函數(shù)的調(diào)用有著極其規(guī)范的層次結(jié)構(gòu)，圖1所示是系統(tǒng)實(shí)現(xiàn)RegEnumKey函數(shù)的調(diào)用體系圖。