共查询到10条相似文献,搜索用时 789 毫秒
1.
针对现有的隐藏进程检测方法存在易规避、兼容性差、对操作系统性能影响较大等问题,提出了一种基于劫持内核入口点的隐藏进程检测方法. 该方法根据进程与内核交互的行为特征,劫持用户态进入内核态的3类入口:KiFastCallEntry、IDT和GDT,通过语义重构建立内核态进程列表,结合交叉视图检测隐藏进程. 实验表明,与其他进程检测方法相比,该方法可以检测目前各种Rootkit隐藏进程方法;支持多种Windows操作系统版本,且对操作系统的性能影响较小;准确性高,兼容性好,实用价值高. 相似文献
2.
RootKit是一组后门工具的集合,是特洛伊木马发展的高级阶段,其在特洛伊木马众多类别中危害最大,深入研究RootKit技术,做到网络攻防知己知彼,对防范木马攻击,减少网络破坏,保护重要信息有重要意义.文章详细介绍了基于内核对象的Windows Rootkit隐藏技术原理,总结了直接内核操作和内核对象内联挂接技术,实例分析了隐藏实现过程,表明了基于内核的隐藏技术达到了较好的隐藏效果,可以避开目前大多教检测工具的检测. 相似文献
3.
4.
通过隐藏进程执行恶意代码是信息攻击的一种重要手段,目前虚拟化平台中In-VM隐藏进程检测方法还存在被绕过和相关数据被篡改的可能性,针对这一问题,提出了一种高可靠In-VM隐藏进程对抗检测方法.该方法利用In-VM模型,通过改进虚拟化内存保护机制保护隐藏进程检测代码及其相关内核数据,确保其不被恶意篡改;通过准确劫持系统调用函数,并结合交叉视图方法检测隐藏进程,确保隐藏进程的检测算法无法被绕过.实验选取并构建多种典型的Rootkit隐藏进程,结果表明,该方法可以检测各种Rootkit隐藏进程,其隐藏进程检测代码及其相关数据无法被恶意篡改,检测算法和内存保护机制无法被绕过,而且改进的虚拟化内存保护机制对系统的性能影响更小,方法的可靠性高,实用价值大. 相似文献
5.
Rookit木马的隐藏机理与检测技术剖析 总被引:1,自引:0,他引:1
李锦 《辽宁师范大学学报(自然科学版)》2009,32(2):174-176
随着网络技术的发展,基于传统隐藏技术的木马已经很难生存,木马隐藏技术开始由Ring 3级转入Ring 0级.运行在Ring 0级的木马,拥有与系统核心同等级的权限,隐藏与伪装更为容易.笔者讨论了Windows内核系统服务调用机制,分析了删除进程双向链表中的进程对象、SSDT内核挂钩注册表隐藏、端口隐藏等Rootkit木马的隐藏机理,最后对Rookit木马的几种检测技术作了详细的剖析.研究内容对增强人们防患意识、更好地维护计算机系统的安全有一定的参考价值. 相似文献
6.
Rootkit是能够持久或可靠地、无法检测的存在于计算机上的一组程序和代码.研究了基于文件系统过滤驱动技术的内核Rootkit,阐述了文件系统过滤驱动的工作原理、过滤驱动的实现、基于文件系统过滤驱动的内核Rootkit对文件隐藏的实现,并讨论了针对Rootkit隐藏的检测技术. 相似文献
7.
设计了一种基于Windows操作系统下的键盘过滤技术。该技术采用WDM驱动框架和IOAPIC重定位表修改技术,可以对用户通过键盘输入的信息进行实时保护。该技术依赖内核驱动程序的最高权限,有效的防止木马程序对用户输入信息的窃取。将其与nProtect密码保护技术进行对比实验,实验结果显示该方法具有比nProtect技术更加底层的防护范围。 相似文献
8.
基于线程管理-端口截听的木马检测系统的设计 总被引:2,自引:0,他引:2
随着互联网越来越生活化,层出不穷的木马已是网络安全的主要威胁,其隐蔽性很强,使一般检测工具难以检测.本系统通过直接扫描系统内核中的活动线程以及截拦活动线程的网络数据流量来进行木马的检测.可以检测出当前所有类型的进程隐藏木马. 相似文献
9.
基于分层驱动的Windows内核rootkit关键技术 总被引:2,自引:0,他引:2
研究了基于Windows操作系统分层驱动技术的内核rootkit,阐述了rootkit如何加入分层驱动程序链,并从IRP中获取数据以及自我隐藏技术,最后讨论了rootkit的检测技术. 相似文献
10.
基于Linux的多进程MDSL研究与设计 总被引:1,自引:0,他引:1
针对Windows下MDSL(多通道同步数字记录仪)系统耦合度高,稳定性和实时性不够理想的缺陷,本文提出了新的系统架构和设计.该设计基于Linux操作系统(2.6内核),采用了多进程方式降低系统耦合度,提高系统可靠性,并采用双机冗余和守护进程等设计保证系统稳定性,同时采用了多线程管理方式实现远程控制单元.实践表明,新系统拥有更好的可靠性以及可维护性. 相似文献
