Xây dựng bộ các công cụ (Driver) theo dõi hành vi trên Windows 7. Phần I : Xây dựng Process driver registry driver, filesystem driver

Link tải luận văn miễn phí cho ae
CHƯƠNG 1:TỔNG QUAN
1.1 BỐI CẢNH
Khi người sử dụng dùng trình duyệt web để truy cập đến các trang web
trên mạng Internet, trình duyệt web sẽ nối kết đến các máy phục vụ web (web
server), yêu cầu tải nội dung mà người dùng yêu cầu và hiển thị nội dung yêu
cầu. Tuy nhiên, nếu người dùng truy cập vào các trang web độc hại (malicious
web pages), ngoài những thông tin mà người dùng yêu cầu, trình duyệt web có
thể nhận được những mã lệnh độc hại, thực thi mã lệnh này trên máy tính
người dùng. Quá trình này được gọi là drive-by-download. Kết quả của quá
trình này có thể là máy tính của người sử dụng sẽ bị cài đặt một cách tự động
các chương trình virus máy tính hay các chương trình gián điệp. Nguy hiểm
hơn, máy tính người dùng có thể trở thành một nút trên một hệ thống phân tán
tấn công từ chối dịch vụ (DDos) được điều khiển từ xa.
Một trong các phương pháp để phát hiện và phân tích tấn công drive-by
download là sử dụng High-interaction Client honeypot. Trong phương pháp này,
người ta xây dựng một số hệ thống người dùng đầu cuối với hệ điều hành và
các ứng công cụ thể trên đó. Ngoài ra, người ta xây dựng các chương trình
theo dõi các thông số trong hệ thống trên các hệ thống đầu cuối này. Sau đó,
các hệ thống người dùng đầu cuối sẽ được điều khiển để chạy ứng dựng duyệt
web, nối kết đến các trang web cần kiểm tra tính nguy hiểm. Các thông số theo
dõi trên hệ thống sẽ được phân tích và cho ra kết quả để đưa ra quyết định là
các trang web đó có xảy ra tấn công drive-by-download hay không.
Một trong các công cụ High-interaction client honeypot được sử dụng phổ
biến nhất hiện nay là Capture-HPC của Đại học Victoria, Welllington, New
Zealand. Tuy nhiên, ứng dụng này được xây dựng chạy trên nền tảng của
Windows XP – Một hệ điều hành khá phổ biến trong thời gian trước đây.
Nhưng hiện tại, Microsoft đã chính thức khai tử Windows XP và khuyên người
dùng chuyển sang sử dụng các Hệ điều hành mới hơn. Mặc khác, xu hướng
của người dùng hiện tại đang chuyển dần sang sử dụng Windows 7. Chính vì
vậy, việc chuyển đổi ứng dụng Capture-HPC để có thể chạy trên Windows 7 là
một yêu cầu cấp thiết phục vụ cho nghiên cứu tấn công drive-by download. Đề
tài này sẽ thực hiện một trong các bước khá quan trọng trong quá trình chuyển
đổi: Xây dựng các bộ công cụ (Driver) theo dõi hành vi chạy trên nền
Windows 7.
1.2 MỤC TIÊU – PHẠM VI ĐỀ TÀI
1.2.1 Mục Tiêu
Nắm được những kiến thức cơ bản về Driver: vai trò, các đặt điểm cơ bản
và cách thức hoạt động của nó trong môi trường Windows nói chung và
Windows 7 nói riêng, giúp cho mọi người tiếp cận Driver một cách thuận tiện và
dễ dàng hơn.

Bên cạnh đó, giới thiệu các nền tảng để xây dựng một Driver trong môi
trường Windows 7 bao gồm mô hình phát triển trình điều khiển thế hệ tiếp theo
của Microsoft là Windows Driver Foundation(WDF) và nền tảng phát triển
trình điều khiển mạng Windows Filtering Platform (WFP), thay thế cho công
nghệ Transport Driver Interface (TDI) chỉ có trên Windows XP và các phiên
bản trước.
Kết hợp những kiến thức đã trình bày ở trên và sự hỗ trợ của công cụ
Windows Driver Kit (WDK) được tích hợp với Microsoft Visual Studio 2008 và
bộ công cụ gỡ lỗi Debug Tool dành cho Windows. Biết được cách thức xây
dựng một driver đơn giản chạy trên Windows 7 và từ đó áp dụng vào xây dựng
các driver cho đề tài này.
Mục tiêu quan trọng nhất của đề tài này là phải xây dựng được các bộ
công cụ (Driver) theo dõi hành vi tấn công trên Process, Registry, File System
và Network chạy trong môi trường Windows 7. Đề tài này là sự phát triển tiếp
theo của dự án Capture-HPC thực hiện trên Windows XP của Đại học Victoria,
Welllington, New Zealand.
1.2.2 Phạm Vi Đề Tài
- Nghiên cứu về các nền tảng để xây dựng một Driver gồm có Windows
Driver Foundation (WDF) và Windows Filtering Platform (WFP).
- Nghiên cứu về Driver và cách tạo một Driver cơ bản.
- Xây dựng các bộ công cụ theo dõi hành vi trên Windows 7 bao gồm các
Driver sau:
+ Process Driver: theo dõi việc tạo(create) hay đóng(terminate) một tiến
trình trên Windows 7.
+ Registry Driver: theo dõi các thao tác liên quan đến khoá và giá trị của
khoá trong registry như: mở (open), tạo (create), xóa (delete), v.v.
+ File System Driver: theo dõi những thay đổi đến tập tin trong hệ thống
tập tin như: đọc (read), ghi (write), truy vấn (query), v.v.
+ Network Driver: theo dõi các gói tin và các thông tin về nó như là địa chỉ
IP (nguồn, đích), cổng (port), các giao thức mạng (protocol), và các ứng
dụng, v.v. Đồng thời xác định được trạng thái (status) của gói tin đó
(connect, receive hay transport).
CHƯƠNG 2: CƠ SỞ LÝ THUYẾT
2.1 TỔNG QUAN VỀ DRIVER
2.1.1 Driver Là Gì? [1]
Hầu hết những định nghĩa về driver là “A driver is software that allows
your computer to communicate with hardware or devices” – Driver là một phần
mềm cho phép máy tính (hay OS) của bạn giao tiếp với phần cứng hay thiết
bị.
Ví dụ, một ứng dụng cần đọc một vài dữ liệu từ một thiết bị. Ứng dụng gọi
một hàm được thực thi bởi hệ điều hành, và hệ điều hành gọi một hàm được
thực thi bởi driver. Driver thì được viết bởi cùng công ty thiết kế và sản xuất
thiết bị. Sau khi driver lấy dữ liệu từ thiết bị, nó trả dữ liệu về cho hệ điều hành,
hệ điều hành trả dữ liệu về ứng dụng.


Xem link download tại Blog Kết nối!
Music ♫

Copyright: Tài liệu đại học ©