Rookit木马的隐藏机理与检测技术剖析

随着网络技术的发展，基于传统隐藏技术的木马已经很难生存，木马隐藏技术开始由Ring 3级转入Ring 0级．运行在Ring 0级的木马，拥有与系统核心同等级的权限，隐藏与伪装更为容易．笔者讨论了Windows内核系统服务调用机制，分析了删除进程双向链表中的进程对象、SSDT内核挂钩注册表隐藏、端口隐藏等Rootkit木马的隐藏机理，最后对Rookit木马的几种检测技术作了详细的剖析．研究内容对增强人们防患意识、更好地维护计算机系统的安全有一定的参考价值．     

基于文件系统过滤驱动的内核Rootkit隐藏技术

Rootkit是能够持久或可靠地、无法检测的存在于计算机上的一组程序和代码.研究了基于文件系统过滤驱动技术的内核Rootkit,阐述了文件系统过滤驱动的工作原理、过滤驱动的实现、基于文件系统过滤驱动的内核Rootkit对文件隐藏的实现,并讨论了针对Rootkit隐藏的检测技术.     

木马病毒的分析与防治

首先介绍了特洛伊木马程序的一些概念，然后重点分析了木马程序的隐藏技术和常见的隐藏方式，给出了木马防治的策略。     

基于直接内核对象操作的进程伪装保护方法

针对目前基于隐藏的进程保护方法容易被Rootkit检测工具检测出而失效的情况,提出了一种基于直接内核对象操作(DKOM)的进程伪装保护方法.该方法将进程隐藏方法中较为常用的DKOM技术与传统的伪装技术相结合,通过直接修改操作系统内核空间中存储进程相关信息的数据结构,使进程在任务管理器中显示为一些系统进程,以此达到保护进程的目的.进程信息的修改涉及内核的操作,由Windows驱动实现,该驱动兼容Windows 2000以上多个版本的操作系统,具有广泛适用性.实验结果显示,经过该方法修改后,进程查看工具查看到的进程信息与正常的系统进程没有差别.伪装效果较好,用户无法发觉,Rootkit检测工具也不会提示异常.验证了基于DKOM的进程伪装保护方法的有效性.     

基于分层驱动的Windows内核rootkit关键技术

研究了基于Windows操作系统分层驱动技术的内核rootkit,阐述了rootkit如何加入分层驱动程序链,并从IRP中获取数据以及自我隐藏技术,最后讨论了rootkit的检测技术.     

基于劫持内核入口点的隐藏进程检测方法

针对现有的隐藏进程检测方法存在易规避、兼容性差、对操作系统性能影响较大等问题,提出了一种基于劫持内核入口点的隐藏进程检测方法. 该方法根据进程与内核交互的行为特征,劫持用户态进入内核态的3类入口:KiFastCallEntry、IDT和GDT,通过语义重构建立内核态进程列表,结合交叉视图检测隐藏进程. 实验表明,与其他进程检测方法相比,该方法可以检测目前各种Rootkit隐藏进程方法;支持多种Windows操作系统版本,且对操作系统的性能影响较小;准确性高,兼容性好,实用价值高.      

计算机特洛伊木马病毒的攻击与清除

随着网络的普及,网络安全问题越来越严重。特洛伊木马病毒是最常见的计算机网络病毒之一。本文介绍了特洛伊木马造成的危害,对木马病毒的攻击与清除进行了研究。     

基于VB的信息隐藏实现技术及应用

随着信息安全日益引起人们的关注,数字图像信息隐藏分析技术已经成为信息隐藏领域一个重要的研究方向.为多媒体文件BMP位图的信息隐藏提出了一种安全有效的解决方案.详细论述了在数字图像中隐藏信息和提取信息的算法及其在VisualBasic开发环境中的实现过程.该技术使得密文可以顺畅地在网络中传输,并得到有效地保护,适应开放网络环境中审核签字信息流转的高可靠性和高安全性.最后对实现结果进行了分析,并给出了这种信息隐藏技术在钻井协同工程设计中的应用示例.     

保障网络信息安全的措施

从计算机网络分层体系结构的角度,把网络黑客常用的入侵手段划分为发生在物理层、数据链路层、网络层、传输层的端口扫描和发生在会话层、表示层、应用层的特洛伊木马入侵两大类进行分析,得出了防止和及时处理网络侵入事件的技术方法.提出技术防范与网络应用管理相结合提高网络信息安全的理论.     

一种内核级Rootkit侦测方法

本文在简单阐述了Rootkit隐藏的机制后,提出了一种侦测Rootkit隐藏的算法。最后演示了直接遍历内核活动进程列表(ActiveProcessList)和内核调度者ETHREAD列表来侦测隐藏的Rootkit。该方法还能通过遍历内核的PsLoadedModuleList来侦测出通过挂钩本机API函数ZwQuerySystemInformationy隐藏的内核模块和内核驱动。     

网络安全实验中DDoS攻击实验的实现

研究DDoS攻击技术,找出网络运行中隐藏的风险,是增强网络安全的一种重要手段。为了充分了解DDoS攻击原理和技术,提高学生的网络攻防实践能力,在基于Open Stack的网络安全实验平台中使用攻击软件Trinoo和TFN2K,设计并实现了基于UDP方式的DDoS攻击模拟实验。     

基于Java Beans/CORBA对象框架的研究

分布式对象技术是建立在网络基础上的,其核心是解决对象跨平台的连接和交互问题.对象和网络将是未来应用软件的两大特色.Internet如何与分布式对象技术互相促进、协调发展,特别是采用分布式对象技术构造新的应用模式和应用系统,是未来Internet发展的一个焦点.基于这样的认识,该文分析介绍了基于Java Beans/CORBA的对象Web的分布式对象模型,解释了选用JDBC的原由,同时也对基于该模型的数据存储过程进行了介绍.     

基于多智能体的网络信息隐藏系统研究

为加强网络信息安全,该文提出了一种基于m-序列的多智能体协作的信息隐藏模型,并提出以鲁棒性、安全性和通信容量作为评价信息隐藏系统的性能指标.实现了基于多智能体协作的信息隐藏系统,该系统通过多智能体协作加强信息隐藏的鲁棒性,使用多智能体发送信息,加大了隐蔽通信的容量.仿真结果表明:基于多智能体的信息隐藏算法未对特殊位进行处理,因而没有网络包被防火墙过滤,隐藏的信息未丢失;防火墙类产品对于使用包填充类算法隐藏的信息的安全性影响非常大,对于使用基于多智能体算法隐藏的信息的安全性几乎没有任何影响.     

保障网络信息安全的措施

从计算机网络分层体系结构的角度 ,把网络黑客常用的入侵手段划分为发生在物理层、数据链路层、网络层、传输层的端口扫描和发生在会话层、表示层、应用层的特洛伊木马入侵两大类进行分析 ,得出了防止和及时处理网络侵入事件的技术方法 .提出技术防范与网络应用管理相结合提高网络信息安全的理论     

基于虚拟机的Rootkit技术研究

随着安全检测软件深入到系统内核,传统的内核级Rootkit逐渐丧失了隐藏自身和控制系统的优势.但是一种利用虚拟机技术的虚拟机Rootkit又一次打破了平衡,它试图在虚拟化环境下躲避检测,并控制目标系统.本文将介绍两种在不同虚拟化环境下的Roorkit的实现方式.     

以信道编码为载体的信息隐藏技术研究

介绍了在信息处理技术、通信技术和网络技术的飞速发展,使信息传输和交流简单易行的同时,也对信息安全提出了更高的要求.分析了信息加密技术和信息隐藏技术的特点,提出了有噪信道信息隐藏技术,这是对信息安全的新的尝试,为隐秘通信提供了一种更加高效安全的方法,必将在未来的信息安全体系中发挥重要作用.     

基于线程管理-端口截听的木马检测系统的设计

随着互联网越来越生活化,层出不穷的木马已是网络安全的主要威胁,其隐蔽性很强,使一般检测工具难以检测.本系统通过直接扫描系统内核中的活动线程以及截拦活动线程的网络数据流量来进行木马的检测.可以检测出当前所有类型的进程隐藏木马.     

基于ARM内核的网络收音机的设计与实现

文中在简介了ARM内核的特点和EP7312CPU的资源情况后，介绍了基于目前最常用的IP内核ARM内核的．网络收音机的功能设计及其基本设计思想，以及网络收音机的软硬件设计方案，尤其对网络收音机的软件设计进行了详细的介绍，这是网络收音机最关键的部分．论文对基于ARM的嵌入式系统设计有较大的参考价值．     

回声隐藏的研究与实现

回声隐藏是利用音频做载体,隐藏信息的一种信息隐藏技术.提出了基于倒谱的回声隐藏算法,并用matlab实现.在此基础上,提出了增加隐藏容量的新算法.在采样率为44 100 Hz条件下,每秒能够隐藏346 bit信息.     

一种改进的基于小波变换的数字图像隐藏算法研究与实践

数字图像隐藏是近年非常热门的研究领域,小波变换作为图像隐藏中比较先进的技术,在图像隐藏中得到广泛的应用.通过对基于小波变换方法的分析研究,探讨了一种改进的基于小波变换的数字图像隐藏算法,并将算法进行了测试应用.