利用木马的自启动特性对其进行监控*

特洛伊木马作为一种新型的计算机网络入侵程序,比其他病毒对网络环境中计算机信息资源的危害都要大.提出利用木马的一个重要特征--自启动特性对其进行监控.通过挂接系统服务,对注册表和文件系统进行监控,从而实现木马检测.与传统的检测方法相比,这种方法能有效地检测已知的和新出现的木马.由于是在内核中实现监控,一般木马很难逃避这种检测.     

基于Windows系统的木马程序隐蔽行径分析

文章介绍了特洛伊木马的基本概念、分类及特点。针对基于Windows系统的木马分别从木马运行形式、木马通信形式、木马启动方式、以及木马程序在宿主机磁盘上的隐蔽技术进行了分析,为已知和未知木马的防范和检测提供参考。     

自主式学习的木马检测预防系统的设计与实现

随着黑客攻击技术的不断进步,网络安全面临越来越严重的威胁。由于不能确保系统不被黑客攻击,也无法确定用户操作的文件或程序是否含有恶意的代码,因而,及时发现系统中存在的木马程序或者含有恶意代码的文件,是确保系统信息安全的重要途径。目前的许多木马检测软件仅能对已知的木马进行检测,对未知木马却无可奈何。文章在分析和综合当前木马检测技术的基础上,设计并实现了一个在Windows系统中行之有效的木马检测系统,不仅能有效检测已知的木马,还能对未知的木马进行有效的预防,通过对未知木马的特征进行自主式学习,并应用于检测,从而提高木马检测的功能。     

基于特征分析和行为监控的未知木马检测系统研究与实现

木马是以盗取用户个人信息和文件数据,甚至是以远程控制用户计算机为主要目的并尽可能隐藏自身的恶意程序。近年来,随着黑客行为的职业化、利益化和集团化,网络入侵与攻击手段日新月异,木马等恶意代码已成为我国网络安全的重要威胁。现阶段,木马检测通常依赖于病毒软件的检测能力,防病毒软件一般采用特征码比对和行为识别的方式进行木马查杀,这种方式需要防病毒软件拦截木马样本进行分析,提取木马样本,对木马特种库进行升级后对木马进行识别,滞后性很强,无法对新出现的或无已知特征的木马进行查杀。文章对木马反杀毒技术、隐藏技术、突破主动防御技术进行探讨,并以此为基础,提出基于特征分析和行为监控的木马检测技术,完成了未知木马检测系统的设计与实现,能够在一定程度上弥补现有防病毒软件及安全措施只能查杀和监测已知木马而不能识别和查杀未知木马的不足。     

基于特征行为的远程访问型木马阻断技术

综合分析大量远程访问型木马样本,提程访问型木马失效.通过进入系统内核模式,从系统底层挂接系统服务调度表来实现,并取得了良好的效果.     

Android系统隐藏技术及检测方法

Android木马通过获取系统root权限,修改内核表项实现隐藏功能,进而躲避木马查杀软件的检测。因此研究An-droid系统隐藏技术对于发现隐藏木马、提高查杀软件的检测能力有重要意义。文中在传统Linux系统隐藏技术的基础上,对Android系统服务启动过程进行分析,探究出适用于Android系统的隐藏方法,并实现了一种Android Rootkit木马原型,用于测试现有木马检测软件对该类型木马的检测能力。文中提出了针对此类Rootkit型木马的检测方法,实验证明这些方法对检测此类木马有一定的作用。     

基于免疫原理的特洛伊木马检测技术研究

首先介绍了目前常用的木马检测方法,指出它们的不足。而后引入了生物免疫原理,并在此基础上提出了一种新的木马智能检测技术。该技术具有自适应性和学习性等优点,不仅能检测出已知木马,而且能检测木马变种和未知木马。     

基于模拟加载法的DLL木马检测模型设计*

针对DLL木马不能直接运行的特性和高隐蔽性带来的检测难度,设计了一个基于模拟加载技术的DLL木马检测模型,并基于该模型实现了一个DLL木马检测系统。介绍了检测系统的总体结构图,阐述了检测系统的模块架构,给出了特征信息库的建立流程,详细分析了检测系统的关键技术。实验结果表明,基于模拟加载法的DLL木马检测系统能够快速判定被检测文件的危险等级,可以有效降低漏报率。     

通过进程监视检测木马攻击

文中提出与实现了一种新的木马检测方法，该方法通过监视计算机对外通信的端口来跟踪与其关联进程的操作行为，并结合了一些已知木马的特征，从而达到有效地检测一些已知和未知的木马。     

基于限定令牌的木马防护系统设计

在研究木马的攻击模式、种植方式和Windows安全机制的基础上,通过对当前木马检测技术的弱点分析,提出了一种基于限定令牌的木马防护系统。该系统从构建工作环境控制着手,实现程序运行审核机制,变查杀为抑制,抑制木马的运行及攻击行为的实施。并重点介绍了进程环境控制模块、服务管理模块、注册表监控模块和异常诊断模块的设计。最后,通过实验验证了该系统的可行性和有效性。     

基于操作行为的隧道木马检测方法

木马通常利用HTTP隧道技术突破防护设备,对网络安全造成威胁。针对该问题,提出一种利用木马操作行为检测网络中HTTP隧道木马的方法。该方法通过6个统计特征描述正常的HTTP会话,采用HTTP隧道技术发现木马操作之间的差别,利用数据挖掘中C4.5决策树分类算法对2种会话进行分类。实验结果表明,该方法能检测多种已知的HTTP隧道木马。     

基于转换概率及RO结构的硬件木马检测

针对硬件木马倾向于在电路低转换概率节点插入的问题,提出了一种在这些节点处构建环形振荡器（RO）结构的方法来检测硬件木马。该方法首先计算电路节点的转换概率并挑选出低于转换概率阈值的节点,然后在挑选出的节点处构建RO结构,通过RO延时的变化进行木马的检测。实验以ISCAS’85基准电路为基础,并在Spartan6 FPGA开发板实现。实验结果表明,在可接受的面积和功耗开销下,可以检测到仅有一到两个门的小型木马电路,弥补了旁路信号分析法检测小型木马的不足。     

面向FPGA应用的硬件木马植入与检测技术研究

近年来,FPGA的应用愈加广泛。为确保FPGA中数据安全可信,在基于环形振荡器的硬件木马检测方法之上,提出一种在Altera FPGA中使用增量编译技术实现环形振荡器和木马植入的方法以及使用归一化差值算法发现并定位木马的数据分析方法。设计基于环形振荡器的硬件木马检测电路,根据系统规模共部署6级振荡环,每级环形振荡器由121个与非门构成。根据木马电路类型和功耗来源,在电路中依次植入四种典型硬件木马,使用归一化差值算法分析环形振荡器振荡频率,最终实现所有类型的木马定位与检测。检测结果表明,基于环形振荡器的硬件木马检测方法在FPGA中具有很好的木马检出效果,不仅能够检测具有较大动态功耗的木马,也可以完成对具有很小的静态功耗木马的检测。所提出的方法已经在实际FPGA工程中使用,为及时发现木马提供了一种有效途径。     

木马编程技术分析

随着Internet的普及，网络安全日益重要。本文介绍了网络攻击的手段之一：特洛伊木马。描述了它的发展状况和分类，重点分析了木马程序开发所采用的关键技术，最后给出了预防和消除木马程序的几点建议。     

基于小波变换的木马心跳行为检测方法

通常的木马心跳行为检测方法利用的是聚类的思想,很难避免木马自身传输数据包的干扰,导致误报。为此,提出基于小波变换的木马心跳行为检测方法。该方法首先将TCP数据包流表示成包长度信号,然后用基于Mallat的强制阈值除噪算法对信号进行处理,最后通过基于包速率的行为详细信息判定算法得出检测结果。实验表明,该检测方法能有效地检测出心跳行为并具有较强的抗干扰性。     

基于Windows环境的木马手工查杀通用方法

目前,杀毒软件的反应速度还远远落后于木马的出现,通常情况下都是木马已经悄悄地出现许久,这些厂商才会有反应。然而,木马的出现让我们损失的不仅仅是电脑控制权,更多的是隐私、金钱甚至是名誉。防范木马已经成为网络安全领域中最重要的问题之一。如果自己懂得手工查杀木马的方法就可以应付自如了。本文就是侧重于Windows木马病毒的通用查杀方法。     

Hardware Trojans in Wireless Cryptographic ICs

Editor's note:This article studies the problem of hardware Trojans in wireless cryptographic ICs. The objective is to design Trojans to leak secret information through the wireless channel. The authors investigate challenges related to detection for such Trojans and propose using statistical analysis of the side-channel signals to help detect them.—Mohammad Tehranipoor, University of Connecticut     

入侵容忍模式下木马特征行为阻断技术研究

介绍木马分类,分析提取出木马关键的特征行为及其实现的技术原理,由此提出入侵容忍模式下木马特征行为阻断策略,进而介绍挂钩系统服务调度表技术和NDIS中间驱动程序网络数据包拦截技术。在Windows 2000系统上构建一个完整的木马阻断系统,并且实现了该策略。分析各个模块的功能与工作过程,对各类特征行为定义了阻断的策略。最后对该系统作了测试与评价。测试结果表明,系统能有效地监测与阻断木马。