侯鑫美 董開(kāi)坤

摘要

隨著信息化時(shí)代的到來(lái)，網(wǎng)絡(luò)安全越來(lái)越取得人們的重視，惡意病毒與程序一直是安全工作者的防護(hù)中心，網(wǎng)絡(luò)安全攻與防的博弈從未停止。本文圍繞惡意程序?qū)χ鳈C(jī)系統(tǒng)狀態(tài)更改的監(jiān)測(cè)為核心，提出了一種基于Windows服務(wù)的后臺(tái)監(jiān)測(cè)方式，利用DLL注入與HOOK API技術(shù)從多個(gè)維度監(jiān)測(cè)系統(tǒng)的異常行為，進(jìn)而攔截異常行為。該方法彌補(bǔ)了當(dāng)前惡意行為監(jiān)測(cè)維度單一的不足。更值得一提的是，本文采用一種內(nèi)核層次的注入方式，通過(guò)分析注入過(guò)程的系統(tǒng)調(diào)用，將內(nèi)核級(jí)API作為注入的切入點(diǎn)，解決了當(dāng)前主流操作系統(tǒng)對(duì)注入行為的限制，使跨平臺(tái)的通用注入成為可能。最后，系統(tǒng)以Windows服務(wù)的形式運(yùn)行于后臺(tái)，降低能耗，提高運(yùn)行穩(wěn)定性，同時(shí)本文提出了本體自御集的概念，為惡意行為監(jiān)測(cè)提供了更深層次的研究方向。

關(guān)鍵字：Windows服務(wù)， 內(nèi)核級(jí)注入， API HOOK， 本體自御集

0 引言

計(jì)算機(jī)發(fā)展至今，縱觀中國(guó)互聯(lián)網(wǎng)安全25年的演進(jìn)歷史[1]，互聯(lián)網(wǎng)用戶的隱私與財(cái)產(chǎn)安全等正遭受到前所未有的嚴(yán)峻挑戰(zhàn)。為此，本文提出了一種基于惡意行為特征檢測(cè)的主動(dòng)防御策略，彌補(bǔ)現(xiàn)有檢測(cè)方案健壯性不足的缺陷，從注冊(cè)表、文件、進(jìn)程、建立本體自御集等多個(gè)方面綜合抵御惡意行為，從源頭杜絕危害。

Windows平臺(tái)面臨的威脅主要有宏病毒、網(wǎng)頁(yè)病毒、腳本病毒、Win32 PE文件病毒等。盡管病毒種類千變?nèi)f化，各類病毒卻仍然保持自我復(fù)制性、傳播性、潛伏性、破壞性等常態(tài)特征。病毒通過(guò)對(duì)FSO的創(chuàng)建，進(jìn)而對(duì)文件施行添加、刪除、修改、拷貝等操作以達(dá)到病毒的自我復(fù)制。病毒感染主機(jī)后，利用注冊(cè)表獲取操作系統(tǒng)與軟件相關(guān)版本信息，探測(cè)相關(guān)漏洞加以利用。通過(guò)修改注冊(cè)表，實(shí)現(xiàn)開(kāi)機(jī)自啟、常駐內(nèi)存及一系列的惡意行為[2]。

文獻(xiàn)[3-4]提到基于特征碼數(shù)據(jù)庫(kù)的檢測(cè)技術(shù)，當(dāng)前主流的云查殺通過(guò)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行特征碼匹配而獲得快速查殺。但基于特征碼的檢測(cè)只能對(duì)數(shù)據(jù)庫(kù)中存在的病毒進(jìn)行檢測(cè)，無(wú)法實(shí)現(xiàn)未知病毒的防御技術(shù)，呈現(xiàn)出一定的功能缺失。文獻(xiàn)[5]提出了一種基于靜態(tài)特征來(lái)展開(kāi)機(jī)器學(xué)習(xí)的檢測(cè)方法，通過(guò)對(duì)網(wǎng)頁(yè)靜態(tài)特征標(biāo)簽的提取，利用機(jī)器學(xué)習(xí)的方法對(duì)網(wǎng)頁(yè)提供設(shè)計(jì)分類，但實(shí)驗(yàn)結(jié)果表明，這類基于靜態(tài)特征的機(jī)器學(xué)習(xí)/統(tǒng)計(jì)學(xué)檢測(cè)方法卻有著較高的漏報(bào)率。文獻(xiàn)[6-7]重點(diǎn)研究了基于注冊(cè)表監(jiān)控的檢測(cè)技術(shù)，但是，通過(guò)對(duì)病毒運(yùn)行原理的剖析就會(huì)知道，病毒對(duì)系統(tǒng)造成的威脅復(fù)雜而繁瑣，僅是依靠注冊(cè)表檢測(cè)未免失于片面。文獻(xiàn)[8]對(duì)殺毒軟件升級(jí)流程的安全性給出深入分析后可知，其防護(hù)方法需運(yùn)用多種殺軟，并且過(guò)程中更加關(guān)注漏洞的挖掘，而且也并未構(gòu)建實(shí)際的防護(hù)措施。經(jīng)過(guò)如上解析探討后表明，這些檢測(cè)技術(shù)在性能上各有千秋，但在整體卻都未曾具備自我防御的能力，很難抵御病毒對(duì)檢測(cè)系統(tǒng)自身的惡意終止。為此，綜合大量文獻(xiàn)的研究成果，本文從主動(dòng)防御的角度出發(fā)，提出了一種基于惡意行為檢測(cè)的改進(jìn)技術(shù)，利用API HOOK技術(shù)全面監(jiān)控操作系統(tǒng)的進(jìn)程狀態(tài)、注冊(cè)表狀態(tài)及文件狀態(tài)，再通過(guò)與本體自御集的功能比對(duì)，從惡意行為發(fā)生的源頭來(lái)實(shí)現(xiàn)防微杜漸。除此之外，考慮到檢測(cè)系統(tǒng)的健壯性，為防止病毒對(duì)防護(hù)系統(tǒng)采取輪詢性惡意終止的反殺策略，本文繼而又提出了一種基于Windows服務(wù)注冊(cè)及DLL注入技術(shù)的聯(lián)合守護(hù)技術(shù)，經(jīng)過(guò)測(cè)試，該方案能夠完成有關(guān)惡意程序?qū)Ρ緳C(jī)的惡意行為特征的檢測(cè)。

1 系統(tǒng)設(shè)計(jì)

惡意行為特征檢測(cè)是對(duì)Windows操作系統(tǒng)的行為防護(hù)。出于功能性、健壯性、與實(shí)用性等多方考量，系統(tǒng)框架設(shè)計(jì)如圖1所示。進(jìn)程守護(hù)模塊負(fù)責(zé)維護(hù)系統(tǒng)的健壯性，監(jiān)測(cè)模塊負(fù)責(zé)記錄windows系統(tǒng)行為，并攔截本體自御集中記錄的惡意行為。注入模塊實(shí)現(xiàn)了監(jiān)測(cè)模塊在進(jìn)程中的注入，用以監(jiān)控系統(tǒng)進(jìn)程狀態(tài)，攔截注冊(cè)表與文件的異常行為。系統(tǒng)同樣設(shè)置日志模塊，用以保存其過(guò)程工作狀態(tài)。在此，針對(duì)系統(tǒng)設(shè)計(jì)中的重點(diǎn)功能做出如下論述。

圖1 系統(tǒng)框架設(shè)計(jì)圖

Fig.1 System framework design

1.1 系統(tǒng)穩(wěn)定性設(shè)計(jì)

本文利用Windows服務(wù)對(duì)檢測(cè)系統(tǒng)進(jìn)行健壯性守護(hù)，根據(jù)Windows服務(wù)技術(shù)[9]，選用ServiceMain作為監(jiān)控程序的入口函數(shù)。在此過(guò)程中，ServiceMain函數(shù)將通過(guò)調(diào)用RegisterServiceCtrlHandler函數(shù)來(lái)回調(diào)控制請(qǐng)求處理函數(shù)CtrlHandler，而CtrlHandle則負(fù)責(zé)響應(yīng)來(lái)自SCP的控制命令并告之SCM服務(wù)狀態(tài)信息。

1.2 監(jiān)測(cè)注入設(shè)計(jì)

動(dòng)態(tài)鏈接庫(kù)（dynamic-link library，DLL）是Windows操作系統(tǒng)提供的一種可執(zhí)行文件，本系統(tǒng)使用DLL作為監(jiān)控模塊的容器。為了監(jiān)控系統(tǒng)進(jìn)程狀態(tài)，需將監(jiān)控DLL注入至系統(tǒng)進(jìn)程空間內(nèi)，但Microsoft出于系統(tǒng)穩(wěn)定性的現(xiàn)實(shí)需要，在設(shè)計(jì)操作系統(tǒng)時(shí)對(duì)進(jìn)程內(nèi)存享有訪問(wèn)控制權(quán)限。這種設(shè)計(jì)阻礙了進(jìn)程資源共享，為此可利用遠(yuǎn)程線程注入技術(shù)打破界限[10]。但常規(guī)注入方法卻附生有一定的局限性，對(duì)64 bit操作系統(tǒng)及win7以上版本操作系統(tǒng)都不能提供有效支持，利用該技術(shù)實(shí)現(xiàn)的應(yīng)用程序在跨平臺(tái)性及實(shí)用性上都將陷入明顯困境。為應(yīng)對(duì)這一挑戰(zhàn)，研究應(yīng)對(duì)這一缺陷，我們采用一種更為貼近的內(nèi)核級(jí)別的注入方式解決進(jìn)程注入的跨平臺(tái)問(wèn)題，該技術(shù)將在后文的系統(tǒng)實(shí)現(xiàn)章節(jié)中詳細(xì)解讀。

1.3 監(jiān)測(cè)攔截設(shè)計(jì)

監(jiān)測(cè)攔截模塊時(shí)利用API HOOK技術(shù)來(lái)組織構(gòu)建整個(gè)配置過(guò)程的。HOOK技術(shù)是當(dāng)前實(shí)現(xiàn)Windows API攔截的主要技術(shù)，總而言之就是API函數(shù)的重定向操作[11]。PE文件載入內(nèi)存后，隨即將動(dòng)態(tài)引進(jìn)導(dǎo)入模塊及調(diào)用函數(shù)，同時(shí)由IAT表記錄導(dǎo)入函數(shù)的實(shí)際地址。監(jiān)測(cè)模塊通過(guò)將IAT表中原函數(shù)地址改為相應(yīng)鉤子函數(shù)的實(shí)際地址，當(dāng)病毒程序嘗試調(diào)用被攔截函數(shù)時(shí)，將跳轉(zhuǎn)至本次研究自定義的鉤子函數(shù)，若為正常的應(yīng)用程序，鉤子函數(shù)僅負(fù)責(zé)記錄工作日志，執(zhí)行結(jié)束后則將返回繼續(xù)執(zhí)行原函數(shù)工作，至此監(jiān)測(cè)系統(tǒng)完成一次攔截工作。

2 系統(tǒng)實(shí)現(xiàn)

2.1 建立“本體自御集”

文獻(xiàn)[12]提出了一種以“生物體免疫”為核心思想的注冊(cè)表異常行為檢測(cè)技術(shù)。受該技術(shù)啟發(fā)，本文通過(guò)建立“本體自御集”對(duì)惡意網(wǎng)頁(yè)特征行為進(jìn)行檢測(cè)。

“本體自御集”以計(jì)算機(jī)進(jìn)程為研究對(duì)象，主要數(shù)據(jù)來(lái)源分為2部分。其一，系統(tǒng)正常進(jìn)程常見(jiàn)的仿冒進(jìn)程。病毒制造者經(jīng)常以假亂真，通過(guò)更換相似字符、添加字符等手段為病毒進(jìn)程命名，借此與系統(tǒng)正常的進(jìn)程名混淆視聽(tīng)，使病毒進(jìn)程長(zhǎng)期潛伏在操作系統(tǒng)中。其二，通過(guò)訪問(wèn)惡意網(wǎng)頁(yè)，積極響應(yīng)網(wǎng)頁(yè)的惡意行為，記錄新創(chuàng)建進(jìn)程。絕大多數(shù)惡意網(wǎng)頁(yè)中都包含惡意腳本，惡意腳本的實(shí)際執(zhí)行后可能在本地創(chuàng)建新進(jìn)程，為此可將訪問(wèn)惡意網(wǎng)頁(yè)期間新創(chuàng)建的進(jìn)程作為惡意進(jìn)程，讓其作為本體自御集的一部分。通過(guò)綜合分析常見(jiàn)的系統(tǒng)正常進(jìn)程和已知病毒進(jìn)程，建立本地自御集，列舉部分基礎(chǔ)防御進(jìn)程如表1所示。

2.2 特征行為檢測(cè)

計(jì)算機(jī)被感染后，病毒為了隱藏自身或?qū)ο到y(tǒng)形成惡意破壞，都會(huì)不同程度地修改注冊(cè)表，或刪除系統(tǒng)重要文件等。以Win32 PE病毒為例，由于其具備的寄生特性，通過(guò)加載動(dòng)態(tài)鏈接庫(kù)kernel32.dll，同時(shí)一并取得修改注冊(cè)表函數(shù)的API地址，進(jìn)而調(diào)用Windows API對(duì)注冊(cè)表啟動(dòng)打開(kāi)、查詢、讀寫(xiě)、刪除等操作進(jìn)程。系統(tǒng)采用API HOOK 技術(shù)，攔截相關(guān)操作的Windows API函數(shù)以監(jiān)測(cè)系統(tǒng)注冊(cè)表及文件的狀態(tài)變化，部分用于注冊(cè)表/文件狀態(tài)監(jiān)控的被HOOK函數(shù)及替換函數(shù)如表2所示。

特征行為檢測(cè)模塊在定制開(kāi)發(fā)成動(dòng)態(tài)鏈接庫(kù)后，被系統(tǒng)所有進(jìn)程導(dǎo)入加載，以此達(dá)到監(jiān)控系統(tǒng)安全的目的。當(dāng)負(fù)責(zé)監(jiān)控的DLL被加載送入后，DLL_PROCESS_ATTACH將觸發(fā)IAT表的修改，對(duì)API進(jìn)行HOOK，同時(shí)判斷進(jìn)程是否屬于本體自御集，若某進(jìn)程處于自御集就可設(shè)置標(biāo)志位為T(mén)RUE，反之置為FALSE。DLL_PROCESS_DETACH則觸發(fā)IAT表的還原，即結(jié)束對(duì)Windows API的HOOK工作。特征行為檢測(cè)模塊被進(jìn)程加載后，其基礎(chǔ)檢測(cè)原理如圖2所示。

2.3 進(jìn)程防護(hù)

進(jìn)程是惡意行為特征檢測(cè)的對(duì)象之一。經(jīng)測(cè)試，病毒運(yùn)行總伴隨著新進(jìn)程創(chuàng)建，監(jiān)控系統(tǒng)監(jiān)測(cè)新進(jìn)程創(chuàng)建與進(jìn)程行為。進(jìn)程防護(hù)模塊通過(guò)維護(hù)新、舊2個(gè)進(jìn)程鏈表，配合定時(shí)刷新獲取系統(tǒng)快照的方式發(fā)現(xiàn)新創(chuàng)建進(jìn)程。技術(shù)研發(fā)中，pastList用于保存上一時(shí)刻系統(tǒng)進(jìn)程快照，currentList用于保存定時(shí)刷新后系統(tǒng)進(jìn)程快照，通過(guò)對(duì)比鏈表元素，發(fā)現(xiàn)新創(chuàng)建進(jìn)程，利用遠(yuǎn)程線程注入技術(shù)，向新創(chuàng)建進(jìn)程注入特征行為檢測(cè)模塊，以此監(jiān)控新創(chuàng)建進(jìn)程行為，并檢測(cè)新創(chuàng)建進(jìn)程是否為惡意進(jìn)程。除此之外，程序運(yùn)行初始時(shí)刻，則將枚舉所有進(jìn)程。為保證系統(tǒng)所有進(jìn)程的安全，將為所有進(jìn)程完成特征行為檢測(cè)模塊的注入。

研究中，利用創(chuàng)建遠(yuǎn)程線程的方法向目標(biāo)進(jìn)程注入特征行為檢測(cè)模塊。前文提到傳統(tǒng)注入方式并不可靠，本文采用了一種構(gòu)造內(nèi)核函數(shù)原型的改進(jìn)方法來(lái)彌補(bǔ)這一缺陷。以Win7為調(diào)試環(huán)境，利用OD工具對(duì)CreateRemoteThread函數(shù)進(jìn)行堆棧調(diào)用分析，由此發(fā)現(xiàn)，CreateRemoteThread并沒(méi)有直接向內(nèi)核級(jí)請(qǐng)求調(diào)用ntdll.dll-->ZwCreateThreadEx，而是請(qǐng)求調(diào)用了kernelbase.dll-->CreateRemoteThreadEx函數(shù)，其中CreateRemoteThreadEx函數(shù)與CreateRemoteThread函數(shù)具有相同的參數(shù)原型，并執(zhí)行相同的函數(shù)行為。CreateRemoteThreadEx函數(shù)又進(jìn)一步調(diào)用了ntdll.dll-->ZwCreateThreadEx完成用戶級(jí)到內(nèi)核級(jí)的調(diào)用轉(zhuǎn)換。綜上，通過(guò)動(dòng)態(tài)實(shí)現(xiàn)NtCreateThreadEx系統(tǒng)調(diào)用，即可完成任意版本操作系統(tǒng)的遠(yuǎn)程注入。NtCreateThreadEx是內(nèi)核級(jí)系統(tǒng)調(diào)用函數(shù)，MSDN未公開(kāi)內(nèi)核API 文檔，故該函數(shù)不可被直接調(diào)用。在本次研究中，有針對(duì)性地定義具有相同原型的函數(shù)指針以完成NtCreateThreadEx的系統(tǒng)調(diào)用。

根據(jù)如上分析，當(dāng)操作系統(tǒng)版本不支持CreateRemoteThread創(chuàng)建遠(yuǎn)程線程時(shí)，用NtCreateThreadEx函數(shù)對(duì)其進(jìn)行替換。注入的前期工作與傳統(tǒng)注入方式相同，隨后判斷當(dāng)前操作系統(tǒng)版本，若操作系統(tǒng)為Windows XP/Server 2003，利用傳統(tǒng)方式完成DLL注入。若操作系統(tǒng)為Windows Vista/7/Server 2008，利用本文構(gòu)造的PFNtCreateThreadEx函數(shù)創(chuàng)建遠(yuǎn)程線程，進(jìn)而完成DLL注入。特征行為檢測(cè)DLL注入進(jìn)程偽代碼如下。

2.4 健壯性維護(hù)

為減小系統(tǒng)運(yùn)行壓力并提高系統(tǒng)健壯性，行為特征檢測(cè)功能以Windows服務(wù)的方式在后臺(tái)運(yùn)行。同時(shí)，為了防止檢測(cè)系統(tǒng)意外崩潰或被病毒程序惡意終止，系統(tǒng)創(chuàng)建了獨(dú)立的進(jìn)程來(lái)守護(hù)特征行為檢測(cè)服務(wù)。通過(guò)定時(shí)遍歷系統(tǒng)服務(wù)列表，查找目標(biāo)服務(wù)運(yùn)行狀況，若目標(biāo)服務(wù)被意外終止，則檢測(cè)服務(wù)立即重啟。

3 結(jié)束語(yǔ)

本文提出了一種基于Windows服務(wù)的惡意行為特征檢測(cè)方案。與現(xiàn)有的檢測(cè)技術(shù)相比，從多個(gè)維度監(jiān)測(cè)防護(hù)惡意行為。同時(shí)，在監(jiān)測(cè)模塊的注入實(shí)現(xiàn)上，摒棄了CreateRemoteThread的傳統(tǒng)注入技術(shù)，采用了內(nèi)核級(jí)的遠(yuǎn)程線程注入方法，通過(guò)動(dòng)態(tài)調(diào)用NtCreateThreadEx系統(tǒng)函數(shù)來(lái)大幅提升進(jìn)程注入的成功率，同時(shí)增強(qiáng)系統(tǒng)的跨平臺(tái)能力。研究中還提出了“本體自御集”的概念，通過(guò)對(duì)當(dāng)前主流惡意進(jìn)程的統(tǒng)計(jì)，建立本體自御集，基于本體自御集判斷進(jìn)程的異常行為。但是，本文還存在一定不足。本體自御集的建立應(yīng)該是一個(gè)反復(fù)訓(xùn)練學(xué)習(xí)的過(guò)程，通過(guò)不斷豐富仿冒進(jìn)程、大量訪問(wèn)惡意網(wǎng)頁(yè)，記錄訪問(wèn)過(guò)程中新創(chuàng)建的病毒進(jìn)程，以此來(lái)擴(kuò)充本體自御集的容量，進(jìn)而擴(kuò)展惡意網(wǎng)頁(yè)行為特征的檢測(cè)范圍。

本文的下一步研究將圍繞擴(kuò)充本體自御集展開(kāi)，利用自動(dòng)化手段，訪問(wèn)大量的惡意網(wǎng)頁(yè)，然后利用機(jī)器學(xué)習(xí)/統(tǒng)計(jì)學(xué)手段對(duì)惡意網(wǎng)頁(yè)的行為特征進(jìn)行更深層次的探索。

4 參考文獻(xiàn)

[1]信息安全25年發(fā)展史[EB/OL]. [2013-05-06]. http：//security.zdnet.com.cn/security_zone/2013/0506/2158048.shtml.

[2] 謝億鑫， 孫樂(lè)昌. 計(jì)算機(jī)病毒修改Windows操作系統(tǒng)注冊(cè)表原理解析[J]. 計(jì)算機(jī)安全， 2008（8）：117-121.

[3] 張慧琳， 鄒維， 韓心慧. 網(wǎng)頁(yè)木馬機(jī)理與防御技術(shù)[J]. 軟件學(xué)報(bào)， 2013， 24（4）：843-858.

[4] WU Shaohua， HU Yong. Study of Trojans Detection and Prevention Technology[J]. Computer Science and Application， 2015， 5（12）：429-435.

[5] CANALI D， COVA M， VIGNA G， et al. Prophiler： a fast filter for the large-scale detection of malicious web pages[C]// International Conference on World Wide Web， WWW 2011. Hyderabad， India：ACM， 2011：197-206.

[6] 李珂泂， 寧超. 惡意腳本程序研究以及基于API HOOK的注冊(cè)表監(jiān)控技術(shù)[J]. 計(jì)算機(jī)應(yīng)用， 2009， 29（12）：3197-3200.

[7] 李偉斌， 王華勇， 羅平. 通過(guò)注冊(cè)表監(jiān)控實(shí)現(xiàn)木馬檢測(cè)[J]. 計(jì)算機(jī)工程與設(shè)計(jì)， 2006， 27（12）：2220-2222.

[8] 傅建明， 劉高， 李鵬偉. 一種殺毒軟件升級(jí)流程的安全性分析方法[J]. 武漢大學(xué)學(xué)報(bào)（理學(xué)版）， 2015， 61（6）：509-516.

[9] 曹磊， 蔡皖東. Windows服務(wù)隱藏技術(shù)研究與實(shí)現(xiàn)[J]. 微電子學(xué)與計(jì)算機(jī)， 2011， 28（12）：10-13.

[10] 張懿， 劉嘉勇. 剖析遠(yuǎn)程控制免殺DLL木馬[J]. 信息安全與通信保密， 2011（4）：56-57，60.

[11] SHAID S Z M， MAAROF M A. In memory detection of Windows API call hooking technique[C]// International Conference on Computer， Communications， and Control Technology， IEEE 2015. Malaysia， Kuching：IEEE， 2015：294-298.

[12] 鮑欣龍， 羅文堅(jiān)， 曹先彬，等. 可用于惡意腳本識(shí)別的注冊(cè)表異常行為檢測(cè)技術(shù)[J]. 計(jì)算機(jī)工程， 2005， 31（8）：137-139.

Malicious Behavior Monitoring Technology

Based On Windows Service

Hou Xeimei*， Dong Kaikun*

（*School of Computer Science and Technology，Harbin Institute of

Technology，Harbin 150001）

Abstract

With the advent of the information age， more and more people pay attention to the network security. safety engineers have treated malicious virus and programs as the protection key， network security offensive and defensive game never stops. This paper proposes a malicious behavior backend monitoring scheme based on Windows Service， detecting and intercepting the abnormal behaviors with DLL Injection and API HOOK caused by virus from Multi-Demensions. This method covers the shortage of single detection dimension. It is particularly worth mentioning here that this paper adopts a way of kernel-level injection by analysing kernel-level System Calls， and works out the limitation on injection behaviors by mainstream OS， makes the Cross-platform general injection possible. Finally， this system runs in backend in a Windows Service way， reduces the energy consumption and improves the operation stability. Meanwhile， we propose the conception of “Selfish Protection Set” providing a deeper research direction for Malicious behaviors monitoring.

Keywords： Windows Service， kernel-level Injection， API HOOK， Selfish Protection Set