基于线程调度的隐藏进程检测技术研究

随着互联网的快速发展,信息技术已成为促进经济发展、社会进步的巨大推动力。Windows操作系统的普及和不断提升,使得基于Windows的各种进程隐藏技术迅速传播,同时对应的进程检测技术也需要进一步扩充。文章针对Windows操作系统的新版本64位Windows7系统,设计了一种基于截获SwapContext函数的隐藏进程检测方案并软件实现。实验结果表明,该方法可以全面检测64位Windows7的隐藏进程,检测结果准确、可靠,可进行实际应用。     

基于远程线程注入的进程隐藏技术研究

Windows系统平台下的进程隐藏方法中远程线程注入技术比较常见,但常规的远程线程注入技术难以避过安全检测技术的检测。针对于此,提出了基于APC机制的远程线程注入技术,通过利用APC机制实现新的攻击策略,以达到进程隐藏的目的。并在分析技术原理基础上,针对该技术改进了安全检测方案。在实际检测中该攻击方法隐蔽性更强,能有效对抗常规的安全检测技术。     

进程隐藏的相关问题研究

通过构建若干典型实例,对Windows环境下主流进程隐藏技术进行了分析,包括APIHOOK、远程线程注入DLL和远程线程注入代码,并以此为基础,探索了增强加载程序隐蔽性的技术途径以及提高进程隐藏编码效率的方法。     

Windows Rootkit进程隐藏与检测技术

进程隐藏是Rootkit技术的一种典型应用,隐藏运行的恶意代码威胁到计算机的安全。为此,通过分析Windows系统中利用Rootkit技术对进程进行隐藏的原理,针对用户模式和内核模式2种模式下进程隐藏技术的特点,提出几种不依赖于系统服务的隐藏进程检测技术。此类检测方法直接利用系统底层的数据结构,检测能力强。     

分布式操作系统中多任务分配与进程线程调度

分布式操作系统中多任务的分配以及任务调度、负载均衡是实现的难点,其中进程和线程是实现任务执行和分配最重要的概念之一.如何在分布式系统中实现进程与线程的创建以及信息之间的交互是分布式系统设计至关重要的部分.通过对传统操作系统中进程和线程的实现机理以及比较,进一步论述在分布式操作系统中,如何实现多任务分配,如何在不同主机的进程间进行分配以及进行负载均衡.     

进程隐藏技术

从原理上介绍了进程隐藏的几种方法,如通过API拦截和修改系统活动进程列表等方法,并对各种技术进行了优缺点分析。     

基于HSC的进程隐藏检测技术

介绍了目前Windows下常见的进程隐藏检测技术,提出了基于截获系统调用（HSC)的进程隐藏检测技术,利用隐藏进程的行为特征,通过截获系统调用建立完整的进程列表来检测隐藏进程,并针对该技术对抗RootKit的攻击提出了改进。该种隐藏进程的检测方法十分可靠,可以检测出常规安全检测工具不能发现的系统恶意程序。     

基于可执行路径分析的隐藏进程检测方法

研究了内核模式下进程隐藏的原理和进程隐藏检测技术。在此基础上,提出了一种Windows操作系统内核模式下基于可执行路径分析（EPA）的隐藏进程检测技术。通过检查某些关键系统函数执行时所用的指令个数,来判断这些函数是否执行了多余的代码,从而断定系统被Windows Rootkit修改过了。利用该方法,可以检测出当前常规安全检测工具不能发现的系统恶意程序的进程隐藏。     

基于内存搜索的隐藏进程检测技术

对现有的Windows下各种隐藏进程检测技术及其反检测技术进行了研究,提出了基于内存搜索的隐藏进程检测技术,并针对该技术的性能提出了改进。该种检测技术利用进程的固有特征对系统地址空间的遍历建立完整的进程列表来检测隐藏进程。通过实验表明,该技术具有较好的可靠性、检测效率和完整性。     

特洛伊木马隐藏技术研究

首先介绍了传统的木马隐藏方法,由于传统方法主要集中于本地进程的隐藏,对木马两端之间通信隐藏涉及甚少,而本文所采用的基于ICMP的连接技术能够穿越防火墙,实现通信连接的隐藏。     

Android系统隐藏技术及检测方法

Android木马通过获取系统root权限,修改内核表项实现隐藏功能,进而躲避木马查杀软件的检测。因此研究An-droid系统隐藏技术对于发现隐藏木马、提高查杀软件的检测能力有重要意义。文中在传统Linux系统隐藏技术的基础上,对Android系统服务启动过程进行分析,探究出适用于Android系统的隐藏方法,并实现了一种Android Rootkit木马原型,用于测试现有木马检测软件对该类型木马的检测能力。文中提出了针对此类Rootkit型木马的检测方法,实验证明这些方法对检测此类木马有一定的作用。     

Windows下基于交叉视图的Rootkit进程隐藏检测技术

对现有的Windows Rootkit进程隐藏技术进行了研究,提出了基于交叉视图的Rootkit进程隐藏检测技术.该技术通过比较从操作系统的高层和底层获取到的进程列表来检测被Rootkit所隐藏的进程,其中,底层进程列表是通过搜索内存中的内核对象来获得的.实验表明,该技术具有较好的检测效果.     

Windows系统Rootkit检测技术研究

Rootkit是一组后门工具的集合,是特洛伊木马发展的高级阶段.通过研究Windows下的Rootkit技术原理及检测技术,给出具体实现方法.     

永久型Windows Rootkit检测技术

永久型Rootkit可以长期隐秘在系统中,并隐藏恶意代码,威胁计算机的安全。该文应用cross-view方法构建监控系统,采用文件系统过滤驱动与钩挂系统服务分析系统行为,判定系统是否已被装入永久型Windows Rootkit,并完成对经典Rootkit-hacker defender及它所保护的恶意程序的检测。由于该检测技术使用底层驱动监测,不依赖特征码,因此对内核级和将来出现的Rootkit具有良好的检测 效果。     

虚拟化环境下基于职能分离的Rootkit检测系统架构研究

针对现有虚拟化环境下Rootkit检测技术易被绕过、性能开销大的问题,提出了虚拟化环境下基于职能分离的检测系统架构XenMatrix,其在保证检测系统透明性的同时提高了自身的安全性;设计了检测频率的自适应调整策略,实现了Rootkit检测频率的动态调整,有效降低了系统的性能开销。最后对实验结果的分析表明,相比现有检测技术,该原型系统能够有效检测Rookit,具有较高的检测率和较低的性能开销。     

Windows 下EPA技术的研究与改进

本文对Windows下rookit的几种检测技术进行了比较和研究,并着雷分析了基于可执行路径分析(EPA)技术.同时还讨论了其在Win2k下的代码实现,并提出改进方案.     

基于结构关系检索的隐藏进程检测

对现有各类隐藏进程的实现方法以及隐藏进程检测技术进行研究,提出一种以进程结构与句柄结构间的关系作为内存检索标志获取完整进程信息的方法。该方法可避免检索标志被破坏导致的隐藏进程检测失败。运用交叉视图匹配技术,设计并实现了隐藏进程检测系统,在系统调用、内核结构表遍历、内存检索3个层次基础上获得进程信息。实验结果表明,该系统能实现对隐藏进程的检测及区分功能。     

基于WindowsAPI调用机制的Rootkit检测系统的设计与研究

从功能上来看,Rootkit是指隐藏进程、网络端口、文件痕迹等的恶意软件,现已被广泛应用在黑客入侵和攻击他人的计算机系统上。许多计算机病毒、间谍软件也都常常使用Rootkit潜伏在操作系统上伺机而动。如何有效地对Rootkit进行检测和防范成为应对木马入侵和僵尸网络的首要解决的关键问题。文章在以往的研究基础上,通过深入探讨Windows底层原理,开发了一个基于WindowsAPI调用机制的Rootkit检测系统。在该系统的帮助下,用户不但可以深入查看操作系统的各类底层信息,还可以很方便地找出隐藏在计算机之中的病毒、木马并进行清理,从而更好地保护操作系统。该系统丰富了现今针对Rootkit检测的研究成果,对后续的研究具有一定的参考价值。