进程隐藏技术的研究和实现

针对网络机房管理工作需要,阐述了Windows平台下进程隐藏原理,介绍了进程隐藏的常用方法,并进行分析比较．最后针对其中最为常用的基于代码注入动态链接库的进程隐藏方法,提出一种新的改进方法,并编程实现,不仅提高了进程隐藏的隐蔽性,而且降低了程序实现的难度．     

高可靠In-VM隐藏进程对抗检测方法

通过隐藏进程执行恶意代码是信息攻击的一种重要手段,目前虚拟化平台中In-VM隐藏进程检测方法还存在被绕过和相关数据被篡改的可能性,针对这一问题,提出了一种高可靠In-VM隐藏进程对抗检测方法.该方法利用In-VM模型,通过改进虚拟化内存保护机制保护隐藏进程检测代码及其相关内核数据,确保其不被恶意篡改;通过准确劫持系统调用函数,并结合交叉视图方法检测隐藏进程,确保隐藏进程的检测算法无法被绕过.实验选取并构建多种典型的Rootkit隐藏进程,结果表明,该方法可以检测各种Rootkit隐藏进程,其隐藏进程检测代码及其相关数据无法被恶意篡改,检测算法和内存保护机制无法被绕过,而且改进的虚拟化内存保护机制对系统的性能影响更小,方法的可靠性高,实用价值大.      

基于劫持内核入口点的隐藏进程检测方法

针对现有的隐藏进程检测方法存在易规避、兼容性差、对操作系统性能影响较大等问题,提出了一种基于劫持内核入口点的隐藏进程检测方法. 该方法根据进程与内核交互的行为特征,劫持用户态进入内核态的3类入口:KiFastCallEntry、IDT和GDT,通过语义重构建立内核态进程列表,结合交叉视图检测隐藏进程. 实验表明,与其他进程检测方法相比,该方法可以检测目前各种Rootkit隐藏进程方法;支持多种Windows操作系统版本,且对操作系统的性能影响较小;准确性高,兼容性好,实用价值高.      

支持多种虚拟化技术的进程非代理监控方法

为保障云环境中虚拟机应用的安全性与可用性,提出一种能够支持多种虚拟化技术的进程非代理监控方法及主动监控框架.本框架将进程监控点设在虚拟机监视器中,而不在其中安装任何代理,并且支持VMware,Xen和KVM三种虚拟化技术,实现了对客户操作系统(Guest OS)的隐藏进程检测和进程负载监控,保证虚拟机安全可靠地运行.从被监控虚拟机外部获取活动进程链、遍历线程获得进程列表,进而利用交叉视图技术可检测出隐藏进程;除开活动进程链,加上网络连接信息相关的另两条链表,从中定位到待监控进程,可获得进程负载状况.实验结果表明:本框架能有效地检测出系统中的隐藏进程,并且准确获取特定进程的负载信息.     

WIN2000下木马隐藏自身的又一方式

进程的隐藏一直是木马程序设计者不断探求的重要技术,本文采用远程线程技术,通过动态链接库方法,较好地解决了这一问题,通过远程线程将木马作为线程隐藏在其他进程中,从而达到隐藏的目的。     

基于直接内核对象操作的进程伪装保护方法

针对目前基于隐藏的进程保护方法容易被Rootkit检测工具检测出而失效的情况,提出了一种基于直接内核对象操作(DKOM)的进程伪装保护方法.该方法将进程隐藏方法中较为常用的DKOM技术与传统的伪装技术相结合,通过直接修改操作系统内核空间中存储进程相关信息的数据结构,使进程在任务管理器中显示为一些系统进程,以此达到保护进程的目的.进程信息的修改涉及内核的操作,由Windows驱动实现,该驱动兼容Windows 2000以上多个版本的操作系统,具有广泛适用性.实验结果显示,经过该方法修改后,进程查看工具查看到的进程信息与正常的系统进程没有差别.伪装效果较好,用户无法发觉,Rootkit检测工具也不会提示异常.验证了基于DKOM的进程伪装保护方法的有效性.     

一种内核级Rootkit侦测方法

本文在简单阐述了Rootkit隐藏的机制后,提出了一种侦测Rootkit隐藏的算法。最后演示了直接遍历内核活动进程列表(ActiveProcessList)和内核调度者ETHREAD列表来侦测隐藏的Rootkit。该方法还能通过遍历内核的PsLoadedModuleList来侦测出通过挂钩本机API函数ZwQuerySystemInformationy隐藏的内核模块和内核驱动。     

通用型DRM系统的扩散控制研究

针对数字媒体内容版权保护的需求,提出了一种通用型DRM系统的扩散控制技术,它不依赖于媒体文件格式和媒体的内容。对媒体文件进行加密捆绑封包,只有授权用户才能对其解包以及解密,同时进程监控程序防止用户非法扩散媒体文件内容,进程隐藏方法则对监控程序进行保护,防止用户强制将其关闭。扩散控制技术利用保护文件和被保护媒体的结合与管控,防止了版权内容被非法扩散。     

利用SPI控制计算机上网

分析利用SPI接口来实现控制Windows Socket应用程序的原理和其中的技术细节，介绍了用自编的SPI服务的DLL替代Windows SPI DLL的方法和被控端的进程隐藏、SPI服务DLL的安装和卸找和命令倾听等。     

利用SPI控制计算机上网

分析利用SPI接口来实现控制windows Socket应用程序的原理和其中的技术细节.介绍了用自编的SPI服务的DLL替代Windows SPI DLL的方法和被控端的进程隐藏、SPI服务DLL的安装和卸载和命令倾听等.     

基于Delphi网络编程的机房自助式上机管理系统

在分析软、硬件控制方案的基础上，借助Windows操作系统的系统资源以及为应用程序开发提供的接口，运用Delphi网络通信和对Windows系统的底层开发功能，从纯软件的角度介绍自助式上机的机房管理系统程序的启动、网络通信、隐藏进程以及注册表的锁定实现技术，实现了机房的自助式上机．     

基于线程管理-端口截听的木马检测系统的设计

随着互联网越来越生活化,层出不穷的木马已是网络安全的主要威胁,其隐蔽性很强,使一般检测工具难以检测.本系统通过直接扫描系统内核中的活动线程以及截拦活动线程的网络数据流量来进行木马的检测.可以检测出当前所有类型的进程隐藏木马.     

Linux进程调度的数据结构

进程调度是Linux操作系统的核心，它对整个操作系统的执行效率至关重要。进程调度控制着进程对CPU的访问，Linux内核利用一个数据结构（task_struct）代表一个进程，task_struct容纳了一个进程的所有信息，是系统对进程进行控制的唯一手段；代表进程的数据结构指针形成了一个task数组，数组的大小代表着系统中允许并发的最大进程数；调度程序一直维护着一个current指针，它指向当前正在运行的进程。     

Linux进程调度的数据结构

进程调度是Linux操作系统的核心,它对整个操作系统的执行效率至关重要.进程调度控制着进程对CPU的访问,Linux 内核利用一个数据结构(task_struct)代表一个进程,task_struct容纳了一个进程的所有信息,是系统对进程进行控制的唯一手段;代表进程的数据结构指针形成了一个task数组,数组的大小代表着系统中允许并发的最大进程数;调度程序一直维护着一个current指针,它指向当前正在运行的进程.     

操作系统UNIXSVR4_0周期进程的设计与实现

针对ＵＮＩＸ ＳＶＲ４．０不支持实时进程的周期性执行，本文阐述了在ＵＮＩＸ ＳＶＲ４．０上实现周期进程的方法，这是对ＵＮＩＸ ＳＶＲ４．０进行的实时性改造。     

木马病毒的分析与防治

首先介绍了特洛伊木马程序的一些概念，然后重点分析了木马程序的隐藏技术和常见的隐藏方式，给出了木马防治的策略。     

Linux下进程迁移机制的研究

针对Linux下ELF可执行文件的加载执行过程,采用先产生原进程整体构架,再恢复断点信息的方法,实 现了中断进程的恢复。该方法有内核改动小,可扩展性较大等优点,对集群及分布式应用具有一定参考价值。     

基于支持向量机的隐藏进程检测技术研究

提出一种基于支持向量机的内核关键数据定位方法,通过向量机建立分类器对物理内存中执行体进程进行识别,建构可信进程视图.实验结果表明,该方法克服了现阶段利用操作系统版本信息的进程重构方法的缺陷,更具有通用性.     

计算机机房的管理和维护

就计算机机房管理中经常出现的问题与故障，提出了相应的解决方案，包括软件的备份和恢复，隐藏备份文件，利用保护卡保护系统等，并就如何利用服务器的优秀配置为机房服务，推荐了几种解决方案。     

基于Linux的进程调度研究

通过对Linux进程调度函数源码的分析,深入剖析了kernel核进程调度流程、调度时机、进程PCB和进程调度的依据．针对进程调度中出现的优先级反向问题,给出了基本优先级继承协议和优先级上限继承协议两种解决方法。