臺灣博碩士論文加值系統

長久以來，惡意程式一直是危害個人電腦安全的主要威脅，雖然使用者可以透過安裝防毒軟體或其他類型的防護機制加以保護個人電腦的安全性，可是相關機制一樣會有其不可避免的問題存在。在本研究中，我們提出一種簡單且有效率的方法可以用來偵測 Windows 作業系統中之異常程式連線。
在本論文中，我們先針對現今惡意程式的種類進行探討，接著針對曾經流行過的惡意程式進行案例分析，藉由分析與探討的結果，我們歸納出現今惡意程式所具備的特性。這些特性包括了具有網路連線能力、容易與作業系統產生混淆或偽裝成作業系統元件、不與使用者互動及具自動啟動能力。接著我們以此結果為依據，提出一種可以偵測符合上述條件異常程式的方法，並且將該方法實做為可執行之偵測工具。

For a long time, malware is major threat to personal computer. Even though user can against threat by installing anti-virus software or other protection solutions. But problem always exist. In this research, we propose a scheme that can be used for detect anomaly program connections in Windows. The scheme are ease of use and efficient.
In this paper, we first discuss the kind of today’s malware. And then we analysis fewer case, that was populated. After that we modeling today malware’s characters, the characters of today’s malware are including ability to connect to network, can be confused with O.S. Component or malware will pretend it was O.S. Component, and doesn’t interactive with user, finally malware can be auto startup. According to characters above, we propose a scheme that can be used for detect anomaly program connections, and we produce scheme to a tool, that can be used for detect anomaly program connections.

誌謝 II
摘要 III
Abstract IV
第一章 簡介 1
1.1 研究動機 1
1.2 研究目的 2
1.3 論文架構 2
第二章 相關背景說明 3
2.1 惡意程式的種類 3
2.1.1 電腦病毒 (Virus) 3
2.1.2 網路蠕蟲 (Worm) 5
2.1.3 傀儡網路 (Botnet) 6
2.1.4 木馬程式 (Trojan) 7
2.1.5 後門 (Backdoor) 8
2.1.6 Rootkit 12
2.2 惡意程式的特性 14
第三章 惡意程式案例探討 15
3.1 W32.Sasser.Worm 15
3.2 W32.Mytob@mm 17
3.3 Infostealer.Lineage 19
第四章 本研究所提之方法與實做 20
4.1 探討現今惡意程式所具備之特性 20
4.2 探討可能建立網路連線之 Windows 作業系統元件 21
4.2.1 探討 Windows 作業系統檔案的可信任性 24
4.2.2 探討 Internet Explorer 之網路連線安全性 25
4.3 探討非作業系統元件所應具備之正常特性 25
4.3.1 探討桌面視窗與系統通知區域圖示 26
4.4 本研究所提出之 Windows 作業系統本機異常程式連線偵測方法 29
4.5 探討本研究所提方法之誤報與漏報 34
4.5.1 偵測已知檔名之誤報 34
4.5.2 偵測已知檔名之漏報 34
4.5.3 偵測未知檔名之誤報 35
4.5.4 偵測未知檔名之漏報 36
4.6 Windows 作業系統本機異常程式連線偵測工具 37
第五章 結論 41
5.1 本研究之結論 41
5.2 未來研究建議 42
參考文獻 44

1. Mark Russinovich, David Solomon. Microsoft Windows Internals, Fourth Edition. Dec, 2004.
2. Johnson M. Hart. Windows System Programming 3/e 中文版. Feb, 2006.
3. Robert Slade, David Harley, Urs E. Gattiker.病毒聖經 (Viruses Revealed). Aug, 2002.
4. Microsoft Platform SDK, Windows File Protection.
5. MSDN Library Internet Explorer Development, Internet Explorer Architecture.
6. Tim Rains. Microsoft “Port Reporter” Tool. Jan, 2005.
7. W32.Sasser.Worm
http://www.symantec.com/security_response/writeup.jsp?docid=2004-050116-1831-99
8. W32.Mytob@mm
http://www.symantec.com/security_response/writeup.jsp?docid=2005-022614-4627-99
9. Infostealer.Lineage
http://www.symantec.com/security_response/writeup.jsp?docid=2005-011211-3355-99
10. Kaspersky, 卡巴斯基實驗室發佈 2005 年十一月病毒二十大排行榜
http://www.ithome.com.tw/plog/index.php?op=ViewArticle&articleId=606&blogId=28
11. Microsoft, A definition of the Run keys in the Windows XP registry
http://support.microsoft.com/kb/314866
12. Mark Russinovich. Advanced Malware Cleaning. Nov, 2006.
http://www.microsoft.com/emea/itsshowtime/sessionh.aspx?videoid=359
13. Greg Hoglund, The definition of a rootkit. Feb, 2006.
http://www.rootkit.com/blog.php?newsid=440
14. tataye, “Beast” Trojan, Aug, 2004.
http://beastdoor.com/
15. Wikipedia, rootkit
http://en.wikipedia.org/wiki/Rootkit