【VC++开源代码栏目提醒】：网学会员VC++开源代码为您提供大学生科创基金申报书1 PDF - 技术总结参考，解决您在大学生科创基金申报书1 PDF - 技术总结学习中工作中的难题，参考学习。

    

上海电力学院大学生科创基金项目 立 项 申 请 书 项目编号 项目名称 恶意软件的内核级程序设计 项目申请人 黄永生 所在院系 计算机与信息工程学院 计算机科学与技术系 联系电话 申请日期 2010年10月14日 上海电力学院大学生科创基金管理委员会编制 申 请 类 别 □ 竞赛项目 √ 研究项目 - 1 - 填表说明 1、 申报者应在认真阅读此说明各项内容后按要求详细填写。

     2、 表内项目一律用蓝、黑色水笔或钢笔填写字迹要端正、清楚。

     3、 项目编号由大学生科创基金管委会或院系大学生科技创新活动领导小组填写。

     4、 工作机构 大学生科创基金管委会由科研处、校团委、科研处、教务处、研究生处、设备处、学生处、大学生科技协会等部门负责人组成秘书处设在科研处和校团委。

     院系大学生科创领导小组由分管科研工作的院系负责人、分管学生工作的党总支副书记和大学生科技协会院系分会组成。

     5、 有关问题除可向上述工作机构咨询外还可发邮件至校大学生科技协会邮箱kchsuep163.com 另外有关科创科创信息请见“学子在线”中“科创园地”栏目。

     - 2 - 上海电力学院大学生科创基金立项申请书简表 项目名称 恶意软件的内核级程序设计 项目编号 起止年月 2010年 10月 至 2012年 4 月 申请金额元2000 批准金额元 学 科 领 域 B A.机械与控制包括机械、仪器仪表、自动化控制、工程、交通、建筑等 B.信息技术 包括计算机、电信、通讯、电子等 C.数理 包括数学、物理、地球与空间科学等 D.生命科学 包括生物、农学、药学、医学、健康、卫生、食品等 E.能源化工 包括能源、材料、石油、化学、化工、生态、环保等 F.人文社科包括经济、社会、法律、教育等 申请人 姓 名 黄永生 性别 男 出生年月 1991.05.13 专业年级 计算机科学与技术专业2010051班 联系地址 南汇区科教园生活区37幢606B 电话 手机 指导教师 姓名 性别 职称 所在院系 联系方式 王勇 男 副教授 计算机与信息工程学院 姓名 性别 年级 所在院系 联系方式 其他参 加 者 情 况 高健 男 2010 计算机科学与技术 李彦鑫 男 2010 计算机科学与技术 李欣雨 女 2010 计算机科学与技术 胡祖荣 男 2010 计算机科学与技术 1391683848 - 3 - 究内容及意义 科学意义和应用前景 该项目对各种恶意软件内核进行研究并逐渐建立设计恶意软件内核的能力其研究结果可运用于进行防御反恶意软件如广告软件骗人的安全软件漏洞利用程序rootkit根瘤、蠕虫、病毒该类型恶意软件的网络入侵在研究恶意软件程序的同时也提高软件安全性能该项目的研究具有重要的网络安全迫切性和广泛的应用前景。

     限100字 一、 立论依据 项目的研究意义、国内外研究现状分析附主要的参考文献 软件内核的现有技术 1内核级保护 从软件的层次来看反恶意软件产品越接近内核就越有能力确认恶意软件活动。

    在恶意软件如rootkit是一个很好的例子成功地将自已在反恶意软件引擎和内核之间隐藏起来时反恶意软件产品就很难扫描并定位恶意代码。

    相反在反恶意软件产品直接在内核上层工作时就有能力监视所有的输入和输出。

    例如最新版本的Windows就具备此特征。

     2Linux 内核的虚拟化技术 Xen 是可用于 Linux 内核的一种虚拟化技术让您可以像在现有环境中一样安装并测试新的升级而不必担心破坏原有的系统。

    作者将向您介绍如何使用 Fedora Core 安装 Xen不过安装之后在任何发行版本上的 Xen 中所有程序运转起来都是相同的。

    了解 Linux 上的虚拟化知道具有一个用于测试新软件的沙盒的好处并练习在同一台 Linux 机器上运行多个虚拟机。

     - 4 - 随着对现有软件的改进和 bug 修复开源世界的变化永无止境。

    要保持软件总是升级到最新这可能得作为一份专职的工作。

    升级软件最难处理的问题之一是您永远不会真正知道升级完成后应用程序是否还能够工作。

    大部分软件打包系统都具备回滚功能但通常只有这项功能还不够理想情况下您应该去测试这些新的升级并在一个不会破坏任何东西的环境中去尝试它们。

     3徽内核技术 作系统中更多的成分和功能放到更高的层次即用户模式中去运行而留下一个尽量小的内核用它来完成操作系统最基本的核心功能。

    大多数的微内核OS对于进程管理功能的实现都采用“机制与策略分离”的原理。

    例如为实现进程调度功能须在进程管理中设臵一个或多个进程优先级队列能将指定优先级进程从所在队列中取出并将其投入执行。

     4内核编程技术 计算机发展以来出现了多种内核编程其中主要有Windows内核编程UNIX和Linux内核编程Windows的内核并不公开或者说Microsoft只公开了用于学习的一小部分内核WRK。

    但是Microsoft提供了Windows内核程序的开发包WDK旧称DDKWindows程序员可以通过WDK开发Windows内核程序。

    一般来说内核程序的扩展名是.sys属于PE文件。

    内核程序是运行在Ring0级的因此内核程序要比应用层上的普通Ring3级程序有更高的权限。

    因此内核编程的应用往往给传统软件带来更强的功能实现技术上的飞跃。

    同理黑客们也将传统的攻击程序或潜行程序从Ring3搬到了Ring0级去以便于更隐蔽、更有效的监视或控制目标系统如Rootkit。

     Windows内核程序在开发的过程中建议在虚拟机中调试。

    因为这不同于普通的Windows编程在内核中的死锁可以直接到整个操作系统的死锁。

    在内核中的非法内存访问可以直接导致蓝屏死机BSODBlue Screen of Death。

    所以为了高效的开发与调试内核程序一般通过使用 - 5 - WinDbg之类的Ring0级调试工具在虚拟机中对目标程序进行调试调试的时候需要到Microsoft官方网站去下载内核符号文件。

     进入21世纪IT技术以前所未有的数度向前发展Linux作为源代码开放的操作系统在众多爱好者的共同努力下不断完善。

    所有的操作系统里都有一些内建函数linux称这些函数为“系统调用”systemcallLinux用户编程接口API遵循了在Unix中最流行的应用编程基础界面标准-posix标准不同的语言和平台为用户提供了一个丰富的编程接口图形编程接口数据编程接口等。

     恶意软件发展过程和研究现状 1恶意软件的前世今生 恶意软件是指计算机用户并不需要的或有害的所有软件类型。

    如同所有软件一样恶意软件随着操作系统和其它软件中所发现的新漏洞的增多而不断演化。

    最初的恶意软件不过是无聊的程序设计者用来证明其勇气和能力的途径或是报复其他人或是为了演示漏洞或是向那些粗心大意的业内人士示威给他人的计算机和数据带来损害。

    恶意软件的范围很广如广告软件、骗人的安全软件、后门程序、漏洞利用程序、键盘记录程序、rootkit根瘤、蠕虫、病毒等都属于恶意软件。

     2内核恶意软件 它通常称为rootkits是在操作系统的内核中运行对系统资源有绝对权力的恶意应用程序。

    感染这类应用程序的最终用户设备打开不能检测的进程可以偷窃数据收集PIIpersonally identifiable information个人可标识信息及不为存在着的一些抗病毒或个人防火墙软件察觉地控制系统。

     在F-Secure的Kimmo Kasslin看来有两类内核恶意软件影响微软视窗环境完全内核和不完全内核“内核恶意软件: 内部攻击” 2006。

    在开始描述它们每一个之前从系统保护的观点来研究Windows内存是如何管理的是很重要的。

    Windows应用程序运行于两种模式之一内核模 - 6 - 式或用户模式。

    内核模式应用程序为用户模式应用程序执行诸如访问硬件资源之类的任务。

    这些应用程序通常有系统资源访问特权。

    因此用户模式应用程序在用户模式中运行以保护操作系统完整性。

    用户模式应用程序像字处理程序和Internet浏览器不能直接访问硬件或被保护的操作系统服务。

    进一步说它们必须调用内核库或驱动程序内核库或驱动程序代表用户模式应用程序保证资源请求被执行。

    这种处理任务分离是硬件层强制。

    内核恶意软件以内核模式运行直接访问系统服务来绕过这种特权抽取。

    换句话说它具有对被感染系统的完全控制。

    一种攻击导向是恶意驱动程序的安装。

     运行于完全内核模式的恶意软件在内核层执行所有任务。

    虽然它可能需要用户的些许帮助来取得安装一旦投入运转它会执行设定任务无需更多用户介入。

     不完全内核模式恶意软件运行于用户模式和内核模式。

    部署方式由在用户模式放臵一个可以访问内核模式驱动程序的.dll 或.exe构成 3内核模式的rootkit 由于用户模式的rootkit可以被发现和清除rootkit设计者们变换了一种思路并开发出内核模式的rootkit 内核模式意味着rootkit和操作系统以及rootkit检测软件拥有相同的权限。

     这让rootkit可以控制操作系统也就意味着操作系统也不能被信任了。

     对于内核模式的rootkit来说不稳定性是一个缺点通常情况下它会经常导致无法解释的崩溃或蓝屏。

    基于这种原因选择使用GMER是一个不错的想法。

    作为值得信赖的rootkit清除工具它可以清除包括Rustock在内的内核模式的rootkit。

     1. http://www.soft6.com/news/201105/27/xw26429.html 2. http://www.7edown.com/query.asptmqC4DABACB 3. http://www.7747.netl 4. 中国软件网。

     5. 夏天 王建文 电力信息化电力系统内部网络主机信息安全研究 2006年第04期 - 7 - 6. 余勇 林为民电力信息化电力系统信息安全加固框架的研究 2006年第12期 7. 赵文清 王德文电力科学与工程PKI在电力系统信息网络安全中的应用 2003年第03期 8. 王先培 熊平 李文武电力系统自动化防火墙和入侵检测系统在电力企业信息网络中的应用 2002年第05期 9. 高新华 王文 马骁电网技术电力信息网络安全隔离设备的研究 2003年第09期 二、 研究方案 1. 研究目标、研究内容和拟解决的关键问题 研究目标 本项目对恶意软件内核进行研究分析漏洞利用程序rootkit根瘤、蠕虫、病毒程序截获木马类型病毒程序破译其技术特征并进行恶意软件内核程序设计 。

     研究内容 1. 总结广告软件、骗人的安全软件、后门程序、漏洞利用程序、键盘记录程序、rootkit根瘤、蠕虫、病毒等恶意软件技术特征 应用分析软件监控系统关键内容采用静态特性分析技术分析恶意软件内核文件采用动态评估分析典型恶意软件内核的运行查找典型软件内核程序的渗透技术特征。

     2. 分析未知木马程序在电力内部网络环境下的入侵技术特征 采用对已知典型木马的监控环境采用静态动态的分析技术在对杀毒软件所不能查杀的可疑木马进行判断确认未知木马判定未知木马程序的破坏功能采用脱壳技术识别免杀木马分析未知木马的网络渗透技术特征。

     3. 电力内部网络防范木马入侵方案设计 结合杀毒软件技术清除未知木马进行软件稳定性测试保障软件的健壮性和可兼容性降低系统资源的占有量提高未知木马的识别率设计电力内部网络反木马渗透集成方案。

     拟解决的关键问题 1. 在电力信息网络监测异常访问发现可疑行为操作采用蜜罐技术截获入侵病毒 2. 研究病毒穿透电力信息网络软件或硬件防火墙的技术分析技术特征 - 8 - 3. 分析截获病毒的隐藏加载技术例如在文档、图形、音乐、网页、电子邮件和可执行文件的加载技术 分析病毒的反跟踪技术追踪病毒的控制端制定反入侵控制策略 2. 拟采取的研究方法、技术路线、实验方案及可行性分析 实验方案1. 总结典型木马程序在电力内部网络环境下的入侵技术特征 1应用分析软件监控系统关键内容 采用木马分析工具监控典型木马运行时系统关键内容发生的变化如文件操作、注册表操作、敏感区访问、网络行为、API调用进程嵌入生成插件。

    具体分析过程要依靠专用的分析工具检测网络行为该软件需具备监控器TDI monitor、文件监控器file monitor、注册表监控器Reg monitor、API监控器API monitor等多个监控器功能根据监控结果做典型木马的关联性分析。

     2采用静态特性分析技术分析典型木马服务端文件 对典型木马服务器端文件的大小、名称、扩展名、目录位臵、版本信息、时间信息、二进制结构、形态、是否加壳、API调用等多种静态特征进行分析并对采用反编译工具查找服务器端的汇编程序并根据对大量样本分析的经验模型进行分析判定达到对有木马服务器端程序命令、功能进行判定的目的。

     3采用动态评估分析典型木马服务器的运行 在已有的监控体制监控下在模拟虚拟机环境下或在真实的环境中运行典型木马的服务器端对程序的动态特性进行监控分析如文件访问、API调用、端口开放等网络操作命令内容外传的信息。

    在虚拟的监控环境下结合对典型木马静态分析结果指导动态分析典型木马的运行规律查找典型木马程序的渗透技术特征。

     实验方案2. 分析未知木马程序在电力内部网络环境下的入侵技术特征 1未知木马的确认 采用对已知典型木马的监控环境采用静态动态的分析技术在对杀毒软件所不能查杀的可疑未知木马进行判断确定是否是具有破坏性的恶意木马软件分析渗透电力内网的手段。

     2判定未知木马程序的破坏功能 未知木马的入侵必定会对系统产生破坏若采用蠕虫和漏洞技术传播的未知木马程序木马程序会更紧密的融合隐蔽到系统中清除破坏性极强的木马可能会激发其破坏功能所以要判定木马的破坏机制避免查杀木马过程导致系统崩溃。

     3采用脱壳技术识别免杀木马 对于确定的免杀木马程序采用脱壳技术采用专用的分析工具 - 9 - 分析该类型木马的伪装特征去除伪装指令为查杀未知木马的软件提供支持。

     实验方案3. 电力内部网络防范木马入侵方案设计 1结合杀毒软件技术清除未知木马 结合杀毒软件技术实现较低的系统资源占用。

    研究与其他监控体制共存情况下的兼容性和系统稳定性。

    同时和已有的传统恶意代码防范技术相结合从而达到更好的使用效果。

     2软件测试集成方案设计 软件稳定性测试保障软件的健壮性和可兼容性降低系统资源的占有量提高未知木马的识别率。

    设计电力内部网络反木马渗透集成方案报告。

     3.本项目的特色与创新之处 项目特色随着网络不断发展壮大网络安全及系统不断受到恶意程序威胁恶意软件内核级程序研究设计对社会具有很大的紧迫性和实用性侧重研究设计具有一定的自主知识产权。

     创新之处软件功能应用在生活中显得愈加重要但恶意程序木马病毒使得它们不断出错或是崩溃甚至一命呜呼。

    采用虚拟蜜罐技术截获入侵的新型木马病毒破译服务端隐藏加载技术和反跟踪技术制定入侵防御策略。

     4.计划进度 12010年10月12月 查询资料申报项目立意构思 22011年01月06月 学习网络程序设计完成实验方案 32011年06月12月 设计编写实用程序方案测试 42012年01月04月 总结论文准备结题 三、 研究基础 - 10 - 实现本课题预期目标已具备的条件包括过去的相关工作基础课题经费总概算从其它渠道已得到、已申请或拟申请的经费情况及金额等 工作积累 1 学习和掌握了基础编程语言C语言、C等 2 参与机器人协会、微软俱乐部以及飞思卡尔智能车等一些兴趣小组活动。

     工作成绩 1 学期C语言、C课程设计成绩优秀 2 熟练掌握计算机专业的知识 3 并且我组成员均获获上海电力学院二等奖学金以上并且两人为一等奖三人为国家励志奖。

     2.已具备的实验条件、尚缺少的实验条件和拟解决的途径 已具备实验条件 1 上海电力学院计算机与信息工程学院在全国飞思卡尔智能车上曾获得第三名的优秀成绩 2 学院有较为完善的软硬件实验室及相关设备等。

     3 专业指导老师的指导。

     缺少的实验条件及拟解决的途径 4 缺少的条件实验可供研究的软件、器材等及实验资金 5 解决的办法申报上海市科创基金 6 缺少的条件网络安全编程方面的知识。

     7 解决的办法通过查阅资料借阅及购买相关书籍、光碟自学研究专业指导老师的指导 四、 预期研究成果 研究成果包括论文、恶意程序分析、恶意软件内核程序设计分析报告。

     考核指标1.论文2篇2.相关软件3.分析报告 提供成果的形式论文程序分析报告。

     五、 研究经历 申请者简历 黄永生男1991年5月生现在为上海电力学院计算机科学与技术专业大二学生。

    学习C两年VC编程一年简单了解linux系统。

     高健男现在为上海电力学院计算机科学与技术专业大二学生。

     学习C两年VC编程一年简单了解及使用linux系统。

     。

     - 11 - 李彦鑫男现在为上海电力学院计算机科学与技术专业大二学生。

     学习C两年VC编程一年。

     李欣雨男现在为上海电力学院计算机科学与技术专业大二学生。

     学习C语言两年C语言实践编程一年。

     胡祖荣男现在为上海电力学院计算机科学与技术专业大二学生。

     学习C两年VC编程一年。

     六、经费预算 申请资助总金额元 2000元 预算科目 金额元 计算根据及理由 1. 相关软件费 400 购买图书、软件等 2.论文版面费 300 论文设计印制相关费用 3.调研费用 300 购买实验材料等 4. 课研组劳务费 500 交通差旅费用、通讯、打印资料等相关费用 5.技术成果推广费用 500 推广人力等 七、项目组成员情况表 姓名 专业 在本项目中承担的工作 签章 黄永生 计算机科学与技术 组长 高健 计算机科学与技术 组员 - 12 - 李彦鑫 计算机科学与技术 组员 李欣雨 计算机科学与技术 组员 胡祖荣 计算机科学与技术 组员 八、指导教师意见对立题、经费预算、项目可行性等签署具体意见 该项目具有较强的创新性经费预算合理项目可行推荐申请。

     签名 年 月 日 九、院系创新教学领导小组评审意见 评审专家签章 年 月 日 十、校创新教学管理委员会评审意见 - 13 - 负责人签章 教务处代章 年 月 日 - 14 - 上海大学生创新活动计划 上海电力学院大学生项目合同书 项目编号 项目全称 一、为了保证大学生创新活动计划工作顺利进行凡获得上海大学生创新活动计划基金资助的项目均采用签订《合同书》的方式具体落实。

     二、每个项目须填《合同书》一式2份由甲、乙双方签署后生效。

    甲方为上海电力学院创新教学管理委员会乙方为项目承担团体或个人。

    各方按照以下规定履行自己的职责 1、甲方负责按照合同规定下达项目研究总经费 元首批下达经 费 元定期检查项目的执行情况组织验收其研究成果。

     2、乙方负责按照《立项申请书》填写《项目合同书》在《合同书》生效后按时完成《立项申请书》所规定的各项任务实施过程中向甲方如实汇报项目的进展情况接受甲方以各种方式进行的检查每一阶段性任务完成后及时填报《项目中期报告》主动向甲方提交中期小结申请阶段验收项目完成后主动提交总结报告申请项目鉴定。

    项目起止时间 年 月至 年 月。

     三、项目经费按项目的实施实际情况分期下发。

    开始甲方只发给乙方一定的启动经费随着项目的进行通过阶段检查再发给下一阶段的经费如验收不合格将停发余下所有的经费如成效显著将酌情加大支持力度。

     四、乙方利用甲方的物质条件参加创新活动计划所完成的研究成果其知识产权包括论著著作权研究成果的专利申请权均属于甲方所有专利发明人名可根据乙方意愿自主排序未经甲方许可乙方不得以任何形式对外发表或擅自转让、使用成果。

    乙方在甲方学习期间或离开后均不得以任何形式泄露或侵犯甲方的知识产权。

     五、本《合同书》文本由甲、乙双方各保存一份。

     甲方签章上海电力学院创新教学管理委员会 乙方签章 负责人签章 年 月 日 年 月 日