基于劫持内核入口点的隐藏进程检测方法

针对现有的隐藏进程检测方法存在易规避、兼容性差、对操作系统性能影响较大等问题,提出了一种基于劫持内核入口点的隐藏进程检测方法. 该方法根据进程与内核交互的行为特征,劫持用户态进入内核态的3类入口:KiFastCallEntry、IDT和GDT,通过语义重构建立内核态进程列表,结合交叉视图检测隐藏进程. 实验表明,与其他进程检测方法相比,该方法可以检测目前各种Rootkit隐藏进程方法;支持多种Windows操作系统版本,且对操作系统的性能影响较小;准确性高,兼容性好,实用价值高.      

基于文件系统过滤驱动的内核Rootkit隐藏技术

Rootkit是能够持久或可靠地、无法检测的存在于计算机上的一组程序和代码.研究了基于文件系统过滤驱动技术的内核Rootkit,阐述了文件系统过滤驱动的工作原理、过滤驱动的实现、基于文件系统过滤驱动的内核Rootkit对文件隐藏的实现,并讨论了针对Rootkit隐藏的检测技术.     

一种新的注册表隐藏Rootkit检测方案

为了检测通过篡改注册表文件而实现潜行于操作系统的Rootkit,分析了常见的Rootkit注册表隐藏技术以及相应的检测技术,并指出了当前检测技术存在的缺陷.在分析注册表文件的格式以及注册表操作控制流程的基础上,设计并实现了一种新型的注册表隐藏Rootkit检测方案.通过模拟win32系统底层枚举注册表键值的流程,获取真实有效的注册表键值,从而检测出隐藏的Root-kit.同时,在遍历注册表键值时使用了二叉搜索树算法以提高检测效率.试验表明该方法能准确并快速地检测出使用了注册表隐藏技术的Rootkit.     

基于虚拟机的Rootkit技术研究

随着安全检测软件深入到系统内核,传统的内核级Rootkit逐渐丧失了隐藏自身和控制系统的优势.但是一种利用虚拟机技术的虚拟机Rootkit又一次打破了平衡,它试图在虚拟化环境下躲避检测,并控制目标系统.本文将介绍两种在不同虚拟化环境下的Roorkit的实现方式.     

基于内核对象的Windows Rootkit隐藏技术研究

RootKit是一组后门工具的集合,是特洛伊木马发展的高级阶段,其在特洛伊木马众多类别中危害最大,深入研究RootKit技术,做到网络攻防知己知彼,对防范木马攻击,减少网络破坏,保护重要信息有重要意义.文章详细介绍了基于内核对象的Windows Rootkit隐藏技术原理,总结了直接内核操作和内核对象内联挂接技术,实例分析了隐藏实现过程,表明了基于内核的隐藏技术达到了较好的隐藏效果,可以避开目前大多教检测工具的检测.     

高可靠In-VM隐藏进程对抗检测方法

通过隐藏进程执行恶意代码是信息攻击的一种重要手段,目前虚拟化平台中In-VM隐藏进程检测方法还存在被绕过和相关数据被篡改的可能性,针对这一问题,提出了一种高可靠In-VM隐藏进程对抗检测方法.该方法利用In-VM模型,通过改进虚拟化内存保护机制保护隐藏进程检测代码及其相关内核数据,确保其不被恶意篡改;通过准确劫持系统调用函数,并结合交叉视图方法检测隐藏进程,确保隐藏进程的检测算法无法被绕过.实验选取并构建多种典型的Rootkit隐藏进程,结果表明,该方法可以检测各种Rootkit隐藏进程,其隐藏进程检测代码及其相关数据无法被恶意篡改,检测算法和内存保护机制无法被绕过,而且改进的虚拟化内存保护机制对系统的性能影响更小,方法的可靠性高,实用价值大.      

基于直接内核对象操作的进程伪装保护方法

针对目前基于隐藏的进程保护方法容易被Rootkit检测工具检测出而失效的情况,提出了一种基于直接内核对象操作(DKOM)的进程伪装保护方法.该方法将进程隐藏方法中较为常用的DKOM技术与传统的伪装技术相结合,通过直接修改操作系统内核空间中存储进程相关信息的数据结构,使进程在任务管理器中显示为一些系统进程,以此达到保护进程的目的.进程信息的修改涉及内核的操作,由Windows驱动实现,该驱动兼容Windows 2000以上多个版本的操作系统,具有广泛适用性.实验结果显示,经过该方法修改后,进程查看工具查看到的进程信息与正常的系统进程没有差别.伪装效果较好,用户无法发觉,Rootkit检测工具也不会提示异常.验证了基于DKOM的进程伪装保护方法的有效性.     

Rookit木马的隐藏机理与检测技术剖析

随着网络技术的发展，基于传统隐藏技术的木马已经很难生存，木马隐藏技术开始由Ring 3级转入Ring 0级．运行在Ring 0级的木马，拥有与系统核心同等级的权限，隐藏与伪装更为容易．笔者讨论了Windows内核系统服务调用机制，分析了删除进程双向链表中的进程对象、SSDT内核挂钩注册表隐藏、端口隐藏等Rootkit木马的隐藏机理，最后对Rookit木马的几种检测技术作了详细的剖析．研究内容对增强人们防患意识、更好地维护计算机系统的安全有一定的参考价值．     

Wingdows操作系统中驱动程序和内核的关系

在Windows操作系统中,设备驱动程序是操纵硬件的最底层软件接口。因此对驱动程序作了阐述,并选取了信息对抗技术的中关于windows内核级病毒隐藏技术和反病毒侦测技术作为议题详细讨论。     

开放内容空间的Spare页面侦测

基于链接分析自动侦测Spam页面，提出了一个分阶段机制。采用决策树和链接分析模型对Wikipedia中的所有节点进行Indegree和Outdegree检测，从而产生出一个候选列表，并引入一个启发算法来降低第一类型的错误。设计一个分类器用于分类候选列表，采用TrustRank和SpamRank算法分别从信任种子集和Spam种子集中推算系统页面各自可信概率和Spam概率，从而减少第二类型的错误。然后将产生的候选集合推送至页面编辑，根据编辑判断的结果反馈训练模型，调整权重。结果表明，分阶段侦测模型可自动地侦测Spam页面，其查准率和查全率分别达到78．3％和94％。     

开放内容空间的Spam页面侦测

基于链接分析自动侦测Spam页面,提出了一个分阶段机制.采用决策树和链接分析模型对Wikipedia中的所有节点进行Indegree和Outdegree检测,从而产生出一个候选列表,并引入一个启发算法来降低第一类型的错误.设计一个分类器用于分类候选列表,采用TrustRank和SpamRank算法分别从信任种子集和Spam种子集中推算系统页面各自可信概率和Spam概率,从而减少第二类型的错误.然后将产生的候选集合推送至页面编辑,根据编辑判断的结果反馈训练模型,调整权重.结果表明,分阶段侦测模型可自动地侦测Spam页面,其查准率和查全率分别达到78.3%和94%.     

一种硬件虚拟化技术的Rootkit及其检测

硬件虚拟化技术的出现使得程序员在x86平台上构建虚拟机的方法更加简单,同时也为Rootkit的研究提供了新的平台。硬件虚拟化技术的Rootkit(HVM Rootkit)的出现对计算机信息安全领域提出了新的挑战。为了研究这种新的Rootkit技术,介绍了硬件虚拟化技术和HVM Ro-otkit的工作机制,在此基础上对HVM Rootkit的键盘过滤和网络传输功能进行设计和实现,展示攻击者如何利用HVM Rootkit对用户计算机造成的安全威胁,对HVM Rootkit的检测问题进行分析,讨论HVM Rootkit的进一步研究方向。     

支持多种虚拟化技术的进程非代理监控方法

为保障云环境中虚拟机应用的安全性与可用性,提出一种能够支持多种虚拟化技术的进程非代理监控方法及主动监控框架.本框架将进程监控点设在虚拟机监视器中,而不在其中安装任何代理,并且支持VMware,Xen和KVM三种虚拟化技术,实现了对客户操作系统(Guest OS)的隐藏进程检测和进程负载监控,保证虚拟机安全可靠地运行.从被监控虚拟机外部获取活动进程链、遍历线程获得进程列表,进而利用交叉视图技术可检测出隐藏进程;除开活动进程链,加上网络连接信息相关的另两条链表,从中定位到待监控进程,可获得进程负载状况.实验结果表明:本框架能有效地检测出系统中的隐藏进程,并且准确获取特定进程的负载信息.     

一种基于红黑树的快速查找列表结构

设计并实现了一种基于红黑树的列表结构. 列表中数据存储在红黑树节点中,红黑树的高效查找性能使列表的查找时间复杂度为O(logn). 实验表明,其查找效率比遍历查找快2个数量级以上,与二分查找相当. 该列表结构适合于各种频繁添加、删除、查找的应用.     

基于硬件虚拟化的虚拟机内核完整性保护

虚拟化技术在为用户带来方便的同时,也为恶意程序提供了更多的攻击机会.针对虚拟机内核完整性面临的安全威胁,提出了一种基于硬件虚拟化的虚拟机内核完整性主动保护方法,通过硬件虚拟化扩展机制从2方面保护内核数据、代码以及关键寄存器:一方面为关键的内核数据与代码创建独立的页表并设置访问权限,使其运行在隔离的地址空间内;一方面利用硬件虚拟化的"陷入"机制使得关键寄存器一旦被篡改便下陷到VMM(virtual machine monitor).实验结果表明本文方法能够检测出常见的内核级Rootkit,并能阻止其对系统的恶意篡改,性能开销控制在7%以内,在提升安全性的同时,不会对性能产生明显的影响.     

基于外存的场景加速数据结构研究

大规模场景的高效真实感绘制一直以来是图形学绘制研究的难题,特别是当场景规模超过内核内存的容量时. 本文以大规模场景为研究对象,利用GPU的并行计算能力,实现了快速构建多级层次包围盒的并行算法. 该算法针对大规模场景做出了以下贡献,其一利用空间莫顿编码对场景数据进行快速分块并快速构建了一个多级层次包围盒;其二使用分段遍历策略,使用第一阶段的遍历结果进行I/O调度,有效提高了大场景下的遍历效率. 最后通过实验,证明了该算法的正确性与可靠性,并对构建和遍历效率进行了分析.     

基于集合和剪枝原理的关联规则隐藏算法

针对传统关联规则隐藏算法直接遍历数据集,而导致输入输出流资源浪费的问题,提出一种基于集合和剪枝原理的关联规则隐藏算法。该算法首先建立频繁模式树(FP-tree),利用后剪枝原理去除属性相同规则,减少了遍历原始数据集所耗I/O时间;然后通过建立集合来保存真实频繁序列,并以集合为单位隐藏关联规则,既保证数据集质量,又提高频繁序列挖掘效率。实验结果表明,该算法与GSP、SPADE算法相比较,不仅更好地保证了数据集的高质量,而且降低了20%～50%频繁序列挖掘时间,并在隐藏敏感规则上有较好的实用性。     

利用有限域上遍历矩阵实现基于隐藏基的密钥交换

针对传统密钥约定方案安全性较低问题, 提出一种新的密钥交换(约定)方案〖CD2〗基于隐藏基的密钥交换. 通过利用有限域上的遍历矩阵对当事双方各自所选择的基进行隐藏, 实现了交换操作. 通过交换操作, 最终实现了基于隐藏基密钥交换协议. 利用该协议, 当事双方可进行较大规模的密钥交换. 通过对交换操作的安全性分析可知, 该协议可以抵抗蛮力攻击, 具有较高的安全性和较强的实用性.     

一种改进的从NFA到DFA的转换算法

研究了不确定的有限自动机转换为与之等价的确定的有限自动机的算法机制和复杂性,以及传统的子集算法在转换过程中存在的大量重复遍历和无效遍历现象,并针对上述现象提出了一种改进的子集法算法MF-SUBSET.结果表明,MF-SUBSET算法通过增加状态标志和遍历路径标志来决定当前的搜索策略,能够有效地避免转换过程中的重复遍历和无效遍历操作,极大地提高了转换效率.     

基于线程管理-端口截听的木马检测系统的设计

随着互联网越来越生活化,层出不穷的木马已是网络安全的主要威胁,其隐蔽性很强,使一般检测工具难以检测.本系统通过直接扫描系统内核中的活动线程以及截拦活动线程的网络数据流量来进行木马的检测.可以检测出当前所有类型的进程隐藏木马.