Windows环境下痕迹提取和行为研究.docVIP

Windows环境下痕迹提取和行为研究 　　摘 要 互联网技术的发展、普及和应用已深入到工作和生活，特别是电子商务与电子政务的发展壮大，带来便利的同时伴随着个人隐私及数据的泄露，因为在软件的安装和使用过程中，都会在计算机中产生大量的“痕迹”，“痕迹”产生在软件安装过程中导入到注册表中的信息和用户的个人数据或者是用户的上网痕迹等多个方面，“痕迹”里面潜伏着很大危机，针对这种危害，我们进行的软件痕迹分析不仅可以应用于软件的安全校验环节，亦可以给软件的设计与优化提供详实的事实依据。 【关键词】信息安全 用户使用痕迹 痕迹提取分析 行为分析 1 计算机用户痕迹的分类 在微软的Windows平台下，痕迹通常存放或遗留于内存、注册表、文件、隐藏目录或者硬盘的空白区域。根据计算机使用情况，可以将痕迹划分操作系统痕迹、上网痕迹、常用软件痕迹、己删除文件、系统日志共五种痕迹，本文是对操作系统痕迹、隐藏注册表痕迹的提取，需要使用监控工具对痕迹进行提取，再对相关的痕迹进行分析。 1.1 操作系统痕迹 操作系统痕迹，主要指包括当前“主机信息”、“最近访问的文档”、“运行记录”、“有哪些信誉好的足球投注网站记录”、“剪贴板”、“系统临时文件”以及“用户临时文件”等。 最近打开过的Word文件、pdf文件、图片、网页等文档会在“最近访问的文档”中留下快捷方式，其实际位置为用户目录下的Recent目录，CSIDL值为CSIDL_ RECENT。在开始菜单的“运行”栏里输入过的程序或文档都会被记录到注册表的HKEY_CURRENT_USER ＼ Software＼ Microsoft＼ Windows＼ CurrentVersion＼ Explorer＼ RunMRU项中。在有哪些信誉好的足球投注网站时，有哪些信誉好的足球投注网站的内容会被记录到注册表的HKEY_ CURRENT_USER＼ Software＼ Microsoft＼ Search Assistant＼ ACMru＼ 5603中。复制或粘贴数据时，这些数据会暂时遗留在内存中。大部分程序运行时都会产生临时文件，这些被放在系统和用户的临时目录中。 1.2 隐藏注册表痕迹 所谓隐藏注册表，并不是将注册表真正隐藏起来，而是以“非正常”手段在操作系统存取系统资源的关健节点或数据进行有效拦载或修改。Windows 注册表是一个庞大的树结构，它包含了两个可以隐藏的重要记录类型。第1 个类型是键，第2 个是键值。由于注册表的结构，隐藏注册键比隐藏文件和进程要复杂一些。枚举注册表键和键值使用的Native API 是ZwEnumerateKey 和ZwEnumerateValueKey 函数（下文以ZwEnumerateValueKey代替这两个函数），它们所做的工作基本一样，都是使用索引获取键/键值，并返回一个缓冲区指针。DDK 文档中公开了若干注册表函数，包括这2个函数的结构以及枚举类型。 注册表系统几乎包含了操作系统的所有信息，如果控制了用户的注册表也就等于控制了该用户的计算机，因此攻击者经常通过控制被攻击者的注册表来控制其计算机，如通过修改启动项等，就很容易启动攻击者的木马程序，攻击者还可以通过钩子等技术，使自己被隐藏起来，用户通过注册表工具无法感知木马的存在，甚至杀毒软件也无能为力。挂钩函数ZwEnumerateKey的基本思路是：每次调用ZwEnumerateKey时，先调用原始的ZwEnumerateKey，然后检查返回的结果是否为需要隐藏的键/键值，如果是则将索引值加上偏移量得到新的索引，再次调用ZwEnumerateKey，从而实现键/键值的隐藏。其中，偏移量为当前KeyHandle 下已隐藏键/键值的数目加1。为进一步隐蔽，可将ZwQueryKey、ZwDeleteKey 等函数一起挂钩。 2 痕迹监控的环境和工具 2.1 痕迹监控的环境 要进行痕迹的分析，首先要做的是搭建实验的环境。搭建实验环境需要一台虚拟机，可以用VMware和Visual PC，本文选择使用VMware 7.0.1。因为需要考虑软件在不同操作系统下的使用痕迹，所以需要建立多个虚拟操作系统。由于本文是面向现在大多数普通用户的Windows 平台，所以只考虑现在比较流行的操作Windows XP、Windows Vista、Windows 7操作系统，暂时还不考虑Linux平台下的痕迹提取和分析。 VMware Workstation 允许操作系统和应用程序在一台虚拟机内部运行。虚拟机是独立运行主机操作系统的离散环境。在 VMware Workstation 中，你可以在一个窗口中加载一台虚拟机，它可以运行自己的操作系统和应用程序。你可以在运行于桌面上的多台虚拟机之间切换，通过一个网络共享虚拟机（例如一个公司局