一种隐藏注入模块的新方法

J4 ›› 2015, Vol. 37 ›› Issue (08): 1472-1478.

一种隐藏注入模块的新方法

吴建，刘新

（湘潭大学信息工程学院“智能计算与信息处理”教育部重点实验室,湖南湘潭 411105）

收稿日期:2014-08-11 修回日期:2014-12-02 出版日期:2015-08-25 发布日期:2015-08-25
基金资助:
湖南省自然科学基金资助项目（12JJ3066）

A novel method of hiding the injected modules

WU Jian，LIU Xin

(Key Laboratory of Intelligent Computing and Information Processing,Ministry of Education,
College of Information Engineering of Xiangtan University,Xiangtan 411105,China)

Received:2014-08-11 Revised:2014-12-02 Online:2015-08-25 Published:2015-08-25

摘要/Abstract

摘要：

在信息安全领域，安全分析工具往往需要将监控模块注入到其他进程空间以实现监控功能，但恶意软件往往会通过检测自身空间是否有其他模块来逃避监控。因此，安全工具需要对注入模块加以隐藏。比较常见的隐藏方法有：断开进程的LDR_MODULE链、Hook枚举模块的函数、抹去PE头等，但这些方法都有比较大的局限性。针对这些局限性，提出了一种对注入模块进行隐藏的新方法。在注入时利用普通有模块注入方式，让恶意软件疏于防范；注入之后消除自身模块，让恶意软件无法检测到监控软件的存在。对于应用中的一些具体技术问题给出了解决方法。实验结果表明，该方法突破防御能力强，可兼容各种版本的Windows操作系统，并且隐蔽性比目前的通用方法更好。

关键词: 信息安全, Rootkit, 线程注入, 隐藏模块, 有模块注入, 无模块注入

Abstract:

In the field of information security,security analysis tools often inject some modules into other process space for monitoring dangerous behaviors, but malwares will scan their own process space and find out the monitor modules to avoid antimonitoring. So security analysis tools should hide the modules that are injected into the target process space. There are many methods for hiding modules, such as disconnecting the LDR_MODULE chain, hooking the function of the enumeration module, erasing the PE header, and so on. But these methods have significant limitations. To make an improvement, we propose a novel method to hide the injected modules. Ordinary module injection is given so they can be neglected by malwares; then the modules are eliminated by themselves, so that malwares cannot detect the presence of the monitoring softwares. Besides, we list out solutions to some typical specific technical problems in practice. Experimental results show that the proposed method has good capability to break through the defense system, it is compatible with various versions of Windows operating systems, and its concealment is better than the traditional methods.

Key words: information security;Rootkit;thread injection;hide module;thread injection with module;thread injection without module

吴建，刘新. 一种隐藏注入模块的新方法[J]. J4, 2015, 37(08): 1472-1478.

WU Jian，LIU Xin. A novel method of hiding the injected modules[J]. J4, 2015, 37(08): 1472-1478.

[1]	张治, 魏嘉鑫, 王林. LoRa数据传输网络混合加密设计[J]. 计算机工程与科学, 2021, 43(12): 2177-2182.
[2]	冯峰, 周清雷, 李斌. 基于多核FPGA的HMAC-SHA1口令恢复[J]. 计算机工程与科学, 2020, 42(10高性能专刊): 1859-1868.
[3]	黄慧萍，肖世德，孟祥印. 基于攻防博弈的SCADA系统信息安全评估方法[J]. 计算机工程与科学, 2017, 39(05): 877-884.
[4]	奚琪，彭建山，朱俊虎. 小班化教学在《网络信息安全》课程中的探索与实践[J]. 计算机工程与科学, 2016, 38(增刊): 174-177.
[5]	胡学先1，刘文芬1，张启慧2. 信息安全专业信息论课程教学方法探讨[J]. 计算机工程与科学, 2016, 38(增刊): 224-227.
[6]	毕季明，张新如，喻祖一. 军事指挥专业信息安全保密课程建设思考[J]. 计算机工程与科学, 2016, 38(增刊): 293-296.
[7]	方旭，周俊，王保琴. 军队院校信息安全人才培养问题研究[J]. 计算机工程与科学, 2016, 38(增刊): 321-323.
[8]	袁志坚，王金双，陈融，潘林. 基于Packet Tracer的“信息安全”教学实例[J]. J4, 2014, 36(A2): 254-258.
[9]	邱菡1，李玉峰1,2，武东英1，朱俊虎1. 信息安全专业《通信原理》课程的教学改革研究与实践[J]. J4, 2014, 36(A1): 23-26.
[10]	侯一凡，李小鹏，戚旭衍，唐永鹤. 《信息安全保密》课程教学方法改革与探索[J]. J4, 2014, 36(A1): 60-63.
[11]	张国庆. CyberCIEGE给予信息安全知识教育的启示[J]. J4, 2014, 36(A1): 151-153.
[12]	王伟，金聪. 一种适合智能手机的JPEG压缩加密方案[J]. J4, 2014, 36(10): 1894-1898.
[13]	颜松远. 整数分解新方向[J]. J4, 2013, 35(1): 1-14.
[14]	周慧华1,2. 一种基于TTP的两方认证密钥交换协议[J]. J4, 2012, 34(10): 38-42.
[15]	程文聪1,邹鹏2,贾焰2. 一种基于流立方体的网络安全态势感知模型[J]. J4, 2011, 33(8): 8-13.