偵測執行檔被竄改過之側錄程式

當側錄程式被竄改其執行檔之後，所產生的特徵碼就不唯一，進而可躲過以 以往的防側錄模組。因此，此章節將驗證雙重偵測防側錄模組可偵測執行檔被竄 改過的側錄程式。

Step 1、利用修改 PE File 的軟體工具-PEditor，對側錄程式之執行檔進行修 改，如圖 40 所示。

圖 40 利用 PEditor 修改側錄程式之執行檔

Step 2、開啟執行檔被竄改的側錄程式。

Step3、利用模擬講解手瀏覽器之程式接收要求開始偵測之訊息給防側錄模 組。此時防側錄模組發現可疑程式，因此對該程式進行動態偵測，開始攔截該程 式之 Message，如圖 41 所示。

圖 41 防側錄模組利用動態偵測攔截可疑程式之 Message

Step 4、利用側錄程式對桌面進行側錄之行為。此時 Hook 函式攔截到可疑 程式送出 DCI command Message，判別該程式有側錄行為，馬上通知防側錄模組 並告知可疑程式之 Thread Id，如圖 42 所示。

圖 42 Hook 函式判定可疑程式有側錄行為

Step 5、防側錄模組借由 Hook 函式所傳回的 Thread Id，將該可疑程式的特 徵碼更新到資料庫中，並且傳送要求停止播放之訊息給講解手瀏覽器。

因此，驗證了雙重偵測防側錄模組可偵測出執行檔被竄改過的側錄程式。

六、 結論與未來展望

為了解決以上之問題，本研究提出結合 Windows Service 與雙重偵測機 制之防測錄模組。 用 Windows Hook 技術攔截可疑程式之 Message，進而判斷該程式是否有側 錄行為。

以上的作法可有效偵測其它程式之行為，並且可有效偵測是否有側錄程 式正在運作。

6.2 未來展望

在此章節針對本研究所提出的防側錄機制，提出一些功能上的補強與未來發 展的方向。

 未來可評估移植到其他平台之可能性，例如：Apple OS, Android OS, …。最 近幾年的智慧型手機與其他手持電腦越來越普及，數位內容課程也漸漸地應 用在這些平台上，因此，可研究在這些平台上開發防側錄程式。

 未來可開發加強特徵碼計算之演算法，因為特徵碼容易遭受到竄改，可研究 一套產生特徵碼的演算法來加強特徵碼比對技術，加強特徵碼的唯一性而補 強防側錄技術。

參考文獻與資料

[1] LUEVELSMEYER, PE Format, [On-line].Available:

http://webster.cs.ucr.edu/Page_TechDocs/pe.txt

[2] MSDN, Peering Inside the PE: A Tour of the Win32 Portable Executable File Format (M. Pietrek), in: Microsoft Systems Journal 3/1994,

[On-line].Available:

http://msdn.microsoft.com/en-us/library/ms809762.aspx

[3] Randy Kath , The Portable Executable File Format from Top to Bottom, [On-line].Available:

http://www.csn.ul.ie/~caolan/publink/winresdump/winresdump/doc/pefile2.h tml

[4] Windows Hook,[On-line].Available:

http://msdn.microsoft.com/en-us/library/ms632589(v=vs.85).aspx

[5] John Robbins, Debugging Applications: Microsoft (Dv-Mps Programming) (Paperback)

[6] 史萊姆論壇, 詳談 HOOK API, [On-line].Available:

http://forum.slime.com.tw/thread167916.html

[7] 趨勢科技, 防毒入門-基本概念-認識病毒碼與掃瞄引擎, [On-line].Available:

http://www.trend.com.tw/corporate/security/virusprimer_2.htm

[8] 智勝國際科技, [On-line].Available:

http://www.caidiy.com/

[9] 網核股份有限公司, OSafe 企業內容安全方案, [On-line].Available:

http://www.iisc.com.tw/Product/Security/OsafeMirage/tabid/50/langu age/zh-TW/Default.aspx

53

[10] TrustView inc., TrustView DRM for Office, [On-line].Available:

http://www.trustview.com.tw/default.aspx?tab=product_office

[11] 以柔資訊, [On-line].Available:

http://www.wnjsoft.com/index.php

[12] Windows Service, [On-line].Available:

http://en.wikipedia.org/wiki/Windows_service

[13] DLL Injection, [On-line].Available:

http://en.wikipedia.org/wiki/DLL_injection

[14] VNC Mirror Driver, [On-line].Available:

http://www.tightvnc.org/driver.html

[15] Sessions, Desktops and Windows Stations, [On-line].Available:

http://www.cppblog.com/dawnbreak/articles/90278.html

[16] Advanced Windows Programming, [On-line].Available:

http://debut.cis.nctu.edu.tw/~ching/Course/AdvancedC++Course/__Page/Windows_P rogramming.htm#Introduce%20to%20the%20Windows%20Programming

[17] 簡單分析特徵碼修改技術, [On-line].Available:

http://big5.china-code.net/read/8/2/148484.html

[18] Session 0 Isolation, [On-line].Available:

http://iamgyg.blog.163.com/blog/static/382232572010199211892/

[19]User Account Control, [On-line].Available:

http://en.wikipedia.org/wiki/User_Account_Control