Windows环境下Rootkit隐藏技术研究

Rootkit是攻击者用来隐藏踪迹和保留访问权限、窃取密码、留下后门等的一组工具的集合,是一种危害性极大的特洛伊木马程序。深入研究Rootkit隐藏技术,有助于提高发现、检测和跟踪它的能力。本文针对Windows环境下的Rootkit隐藏技术进行了深入的分析和研究,并对相应的技术原理做了比较,展望了Rootkit隐藏技术的未来发展趋势。     

Windows Rootkit隐藏技术研究

Rootkit是恶意软件用于隐藏自身及其他特定资源和活动的程序集合。该文分析和研究现有的针对Windows系统的代表性Rookit隐藏技术,将其总结为2类：通过修改系统内核对象数据实现隐藏和通过修改程序执行路径实现隐藏。说明并比较了相应的技术原理,展望了Rootkit隐藏技术未来的发展趋势。     

Windows Rootkit病毒进化与检测

Rootkit作为恶意软件的一个特定类型,是近年来国内外计算机安全领域热门的研究课题。本文介绍了Windows Rootkit技术的发展,概括了常见Windows Rootkit技术实现及检测方法,并利用一些系统分析工具的分析结果来帮助大家理解这些概念。     

Windows Rootkit隐藏技术研究

Rootkit是黑客为了隐藏其入侵痕迹、保留入侵权限而采用的一种技术。由于具有隐藏性好、难以检测的特点,Rootkit在Windows操作系统中的应用越来越广泛,并逐渐与病毒、木马、间谍软件等应用软件相结合,给网络信息安全带了严重危害。深入研究Windows操作系统中Rootkit的工作原理,对于防范其对网络安全造成的破坏有着重要的意义。     

Windows Rootkit进程隐藏与检测技术

进程隐藏是Rootkit技术的一种典型应用,隐藏运行的恶意代码威胁到计算机的安全。为此,通过分析Windows系统中利用Rootkit技术对进程进行隐藏的原理,针对用户模式和内核模式2种模式下进程隐藏技术的特点,提出几种不依赖于系统服务的隐藏进程检测技术。此类检测方法直接利用系统底层的数据结构,检测能力强。     

Windows Rootkit隐藏技术与综合检测方法

针对Rootkit具有隐藏、通信、监听等功能但存在典型木马特征对计算机系统危害严重问题,分析近年来Windows操作系统下Rootkit中各种主流隐藏技术（包括DKOM和各种钩子）,指出当前单一检测方法的缺陷,提出综合性检测技术方案。实验结果表明,该方法达到较好的检测效果,可以对目前大多数Rootkit行为进行检测。     

Linux系统下Rootkit检测方法探讨

Rootkit是一种能够很好的隐藏自己、难以被检测出来的恶意软件.介绍了Linux下Rootkit的工作机制,分别给出了检测用户模式Rootkit和内核模式Rootkit的实用方法.     

Windows系统Rootkit检测技术研究

Rootkit是一组后门工具的集合,是特洛伊木马发展的高级阶段.通过研究Windows下的Rootkit技术原理及检测技术,给出具体实现方法.     

Windows平台下Rootkit进程检测

Rootkit是能够持久或可靠地存在于计算机系统上的一组程序或代码.为了达到无法检测的目的,Rootkit必须使用进程隐藏技术.Rootkit进程隐藏技术是一种以秘密方式在系统后台运行并窃取用户信息的技术.通过分析Windows平台下Rootkit进程隐藏技术的原理,研究了应用层和内核层两种模式下的Rootkit进程隐藏技术.针对Rootkit进程隐藏技术的特点,开发了一个基于句柄表三位一体交叉映射的Rootkit隐藏进程检测平台.系统测试表明,本平台能够检测出当前绝大部分主流Rootkit技术实现的隐藏进程,在实际应用中达到了较好的效果.     

基于WindowsAPI调用机制的Rootkit检测系统的设计与研究

从功能上来看,Rootkit是指隐藏进程、网络端口、文件痕迹等的恶意软件,现已被广泛应用在黑客入侵和攻击他人的计算机系统上。许多计算机病毒、间谍软件也都常常使用Rootkit潜伏在操作系统上伺机而动。如何有效地对Rootkit进行检测和防范成为应对木马入侵和僵尸网络的首要解决的关键问题。文章在以往的研究基础上,通过深入探讨Windows底层原理,开发了一个基于WindowsAPI调用机制的Rootkit检测系统。在该系统的帮助下,用户不但可以深入查看操作系统的各类底层信息,还可以很方便地找出隐藏在计算机之中的病毒、木马并进行清理,从而更好地保护操作系统。该系统丰富了现今针对Rootkit检测的研究成果,对后续的研究具有一定的参考价值。     

Windows RootKit技术原理及防御策略

RootKit是特洛伊木马后门工具,通过修改操作系统软件,使攻击者获得持续的系统访问权并隐藏在计算机中。本文将详细讨论Windows下的RootKit技术原理和检测技术,同时为了保卫系统和网络安全,提出了一套完整的针对RootKit的安全防御策略。     

Windows 下EPA技术的研究与改进

本文对Windows下rookit的几种检测技术进行了比较和研究,并着雷分析了基于可执行路径分析(EPA)技术.同时还讨论了其在Win2k下的代码实现,并提出改进方案.     

Windows RootKit检测与取证技术研究

文章首先对近几年来Windows RootKit检测技术的发展和研究进行了描述,接着对当前常用的RootKit检测工具及其检测方法做了介绍,进而探讨了Windows RootKit的取证与分析方法,以期对当前计算机取证人员有效解决Windows RootKit检测和取证提供一些借鉴。     

一种基于交叉视图的Windows Rootkit检测方法

针对互联网上日益流行的Windows Rootkit程序的实现机制,本文分析了现有的检测方法,指出了其中可能存在的不足,在此基础上提出了一种基于交叉视图的Windows Rootkit检测方法,给出了基本检测思想以及具体实现步骤,讨论了其中关键检测步骤的处理过程,并通过一个有代表性的实例给出了实际的检测效果。     

一种双重防范Rootkit的方法

提出了一种双层检测Rootkit的方法,通过对用户层的Rootkit和驱动层的Rootkit双层检测并结合现有的高效检测技术(Callstack技术),实现了一种全面高效的检测手段,从而减轻木马、病毒对计算机的危害,以达到防范更多的Rootkit.     

Windows环境木马进程隐藏技术研究

本文介绍了在Windows环境下特洛伊木马常用的进程隐藏技术,结合实际,详细分析了利用系统服务方式、动态嵌入方式、SSDT Hook和DKOM技术实现进程隐藏的基本原理,对如何防御和检测木马具有一定的参考意义。     

Windows Mobile的智能终端上内存泄露检测研究

Windows Mobile5．0是微软为智能移动终端推出的软件平台．特别在智能手机领域受到越来越广泛的应用；在基于Windows Mobile的产品设计中，内存泄露又是需要考虑的关键之一。文中解析了Windows Mobile平台上监测设备内存泄露的工具AppVerifier．并在模拟器上实现了监测应用程序内存泄露．进而发现使用AppVcrificr存在的问题．并指出了使用中高效利用AppVerifier的方法。