没有网络安全就没有国家安全。在网络环境安全
问题日益严峻的今天,恶意软件已成为个人信息泄露的代名词。相比于传统安全软件所广泛采用的特征码识别技术,人们发现基于行为分析的恶意软件监测技术在信息安全领域占据着更强的主动性。目前针对
Windows NT环境进程行为的研究较少,且已存在的工具
比较简单,相关技术并未完全公开。于是提出了一种高准确性的Animism进程行为感知引擎,基于Windows事件跟踪机制,对目标进程进行模型化分析,收录其生命周期所有行为,供以技术人员研究判定。
本引擎
系统基于Event Trace for Windows(ETW)机制,ETW机制为非入侵式
事件观测方式,通过过滤来自NT Kernel Logger Session的系统事件流,取出目标进程事件结构体,继而对事件解码、
格式化压栈与持久化,最终提交分析,以实现对模型事件分类统计与
数据可视化等功能。引擎架构如图1所示。
本引擎系统基于Qt,适用于Windows10 x64及后续版本,欢迎
下载体验。
下载地址:
https://www.aliyundrive.com/s/QUJTbwz4mwV
