研究當(dāng)今惡意程序的發(fā)展趨勢，系統(tǒng)比較了在注冊表隱藏和檢測方面的諸多技術(shù)和方法，綜合分析了它們存在的不足，提出了一種基于注冊表Hive文件來進(jìn)行惡意程序隱藏檢測的方法，使得針對惡意程序的檢測更加完整和可靠。實驗表明，該方法可以檢測出當(dāng)前所有進(jìn)行了注冊表隱藏的惡意程序。
關(guān) 鍵 詞 Hive文件; 惡意程序; 注冊表隱藏和檢測; RootKit程序

惡意程序，尤其是間諜軟件和Rootkit，已經(jīng)成為了計算機(jī)安全領(lǐng)域重點防范的對象。從惡意程序的發(fā)展來看，具備一定的信息隱藏功能已經(jīng)成了一種趨勢。隱藏的信息中包括了注冊表、進(jìn)程和端口等。這些信息的隱藏在延長惡意程序的生存周期，加大檢測它們難度的時候，也暴露了惡意程序的蹤跡。與此同時，針對惡意程序的檢測技術(shù)也在不斷的提高中并形成了理論體系。常見的惡意程序的檢測方法包括了啟發(fā)式分析法和特征碼比較法等。但隨著惡意程序隱藏技術(shù)的提高，使得對它們的檢測越發(fā)困難，傳統(tǒng)的方法和技術(shù)已經(jīng)不能適應(yīng)發(fā)展的需要。 [1][2][3]
本文的研究表明，就現(xiàn)有的惡意程序?qū)崿F(xiàn)而言，不管其如何隱藏，其最終實現(xiàn)依然是在操作系統(tǒng)框架內(nèi)并且依賴于系統(tǒng)提供的某些功能。在Windows系統(tǒng)下，惡意程序的存在和運行大都離不開系統(tǒng)注冊表中的相關(guān)信息。惡意程序也常常隱藏于注冊表，因此不可能真正刪除它們。但可以通過獲取系統(tǒng)注冊表的可靠原始信息檢查隱藏項，進(jìn)而獲知惡意程序的存在，并最終清除惡意程序。[4]
1 注冊表隱藏及檢測
注冊表是Windows系統(tǒng)存儲關(guān)于計算機(jī)配置信息的數(shù)據(jù)庫，包括了系統(tǒng)運行時需要調(diào)用的運行方式的設(shè)置，是系統(tǒng)的核心。操作系統(tǒng)是用特殊的文件(Hive文件)[5]來存儲注冊表的內(nèi)容，并提供給用戶相關(guān)的編程接口(APIs)來進(jìn)行注冊表的操作，例如Advapi32.dll中的Registry Functions(如：RegEnumKey)。同時，在Windows操作系統(tǒng)中，函數(shù)的調(diào)用有著極其規(guī)范的層次結(jié)構(gòu)，圖1所示是系統(tǒng)實現(xiàn)RegEnumKey函數(shù)的調(diào)用體系圖。