一种基于交叉视图的Windows Rootkit检测方法

针对rootkit采用隐藏注册表达到隐藏自身的目的,从rootkit的自启动行为入手,提出了依据注册表隐藏信息检测rootkit的机制,并设计了一种基于交叉视图的Windows rootkit检测方法。这种方法通过比较从内核态和用户态枚举的注册表信息,从中检测出被rootkit隐藏的注册表项目,继而检测出rootkit。最后,通过一个代表性的实例验证了这种方法具有较好的检测效果。     

Windows注册表取证

在分析Windows系统登录用户的活动时，对注册表的调查是一项重要内容。Windows注册表是帮助Windows控制硬件、软件、用户环境和Windows界面的一套数据文件。在本文中，笔者将分析注册表的一些重点位置，这对于取证调查人员是极为有用的。     

计算机注册表结构分析

接触计算机稍有时日后,就可能听说到"注册表"这个名词。注册表就是计算机中Windows系统环境的"大管家",它掌握着整个Windows系统的一切进出来往账目;具体地说,注册表是Windows的一个综合数据库,它记录了Windows本身的各种系统设置、机器硬件及驱动程序的调用信息、各种应用程序的安装状态和运行参数以及其他相关信息,还有用使用计算机随时动态生成的上述各种更改数据等,可以说注册表是整个Windows系统的通讯联络中心。要对注册表进行操作,首先必须了解注册表编辑器中所呈现的注册表逻辑结构。掌握注册表基本结构是注入注册表的精髓、由机械性管理转向灵活性管理的必由之路。     

注册表解锁四招

很多使用Windows 98/Me操作系统的用户,由于访问了某些含有恶意代码的网页而导致注册表被锁。这里笔者介绍几种方法,彻底解开这把锁。1.如果用户没有对注册表备份,那么可以采用该方法还原注册表:在纯DOS状态下进入Windows目录,运行scanreg/restore命令,选定以前系统对注册表的备份,直接恢复即可。     

Windows服务隐藏技术研究与实现

恶意程序利用Windows服务可以实现自启动及部分隐藏功能,研究服务隐藏技术能够提高对此类恶意程序的检测能力.研究了Windows服务的启动过程及服务对象的内部数据结构,提出一种结合内存隐藏和注册表隐藏的多点联合隐藏方法,设计并实现了一个基于该方法的服务隐藏程序,在实验条件下测试了此方法的隐藏效果,分析了应对该类型服务隐藏技术的检测策略.实验证明该方法能够在不影响服务功能的前提下,有效隐藏服务,躲避各类检测工具.     

Windows98注册表修改大全（二）

改动注册表前一定要进行备份,当Windows98不能正常启动时,可在DOS状态下运行Scanreg/Restore恢复注册表。利用注册表加强计算机系统安全禁用注册表编辑工具1.打开注册表,进入主键: HKEY_CURRENT_USER\Software\Microsoft\Windows\Current-Version\Policies\Explorer;     

注册表编辑器被禁用后的解锁方法

最近,网络上的恶意网站利用修改电脑的注册表编辑器的方法,进行恶意破坏电脑资料,更有甚者锁定注册表编辑器,使用户无法恢复操作系统。本文结合Windows操作系统的特点,分析注册表编辑器被恶意网站破坏的原因,提出几种解决途径及预防策略。恶意网站主要是利用软件或系统操作平台     

PowerBuilder使用经验几则

1.用PB5的Install Builder修改Windows 95/NT的注册表 Windows 95/NT用注册表(Registry)来管理操作系统及应用程序的设置信息,这比Windows 3.x用ini文件进行管理有了很大的进步。可以依次单击Windows 95/NT的“开始”(Start)、“运行”(Run)选项,然后键入regedit,从而进入注册表编辑器     

怎样存取注册表信息

应用程序在启动和运行时需要将一些重要的信息保存起来,以便在下次启动和运行时使用。在Windows的16位操作系统中,使用系统初始化文件(INI)来存取重要参数。在Windows95、Windows98及最新的Windows2000系统中,都是采用注册表来存放应用程序的启动及运行所需的重要参数。注册表的存取方法一般有以下两种:     

注册表整理不差劲

注册表是系统的核心，Windows自带的注册表编辑器由于过于简单，在提高操作效率上受到了限制，因此，大家都经常寻求第三方注册表编辑工具来代替它。因此，笔者也向大家推荐一款好用而且安全的注册表编辑软件——Registry Workshop。     

基于Windows服务的恶意行为特征检测技术

随着信息化时代的到来,网络安全越来越取得人们的重视,恶意病毒与程序一直是安全工作者的防护中心,网络安全攻与防的博弈从未停止。本文围绕恶意程序对主机系统状态更改的监测为核心,提出了一种基于Windows服务的后台监测方式,利用DLL注入与HOOK API技术从多个维度监测系统的异常行为,进而拦截异常行为。该方法弥补了当前恶意行为监测维度单一的不足。更值得一提的是,本文采用一种内核层次的注入方式,通过分析注入过程的系统调用,将内核级API作为注入的切入点,解决了当前主流操作系统对注入行为的限制,使跨平台的通用注入成为可能。最后,系统以Windows服务的形式运行于后台,降低能耗,提高运行稳定性,同时本文提出了本体自御集的概念,为恶意行为监测提供了更深层次的研究方向。     

基于贝叶斯的Windows注册表访问的异常检测研究

描述了一个针对Windows的基于主机的入侵检测系统。其核心是一个贝叶斯算法，此算法通过寻找异常的对Windows注册表的访问来检测基于主机的攻击，并且评价他的性能。实验结果证明谈基于贝叶斯的检测系统在检测恶意行为时是有效的，并能保持较低的误警率，其实验结果表明检测系统具有良好的性能。     

基于文件过滤的移动存储设备实时监控系统设计与实现

针对Windows NT／2000／2003／XP系列操作系统,设计和实现了一种基于文件过滤驱动的移动存储设备实时监控系统。该系统能够实时捕获移动存储设备的安装,控制并记录移动存储设备的数据读、写操作,可实现对关键文件的授权访问,能阻止从移动存储设备启动可执行程序,从而有效阻断轮渡类木马程序的自动运行,从而保护内部网络安全。     

互联网安全近况与微软安全策略

因恶意软件的不断发展，互联网在为企业和计算机用户带来诸多好处的同时，也增加了安全方面的威胁。在介绍互联网安全现状的基础上，分析了自WindowsXPSP2以来，互联网的安全性所发生的变化，阐述了微软安全策略的进展，以及微软应对网络安全挑战所作的努力。     

LoGos: Internet‐Explorer‐Based Malicious Webpage Detection

Malware propagated via the World Wide Web is one of the most dangerous tools in the realm of cyber‐attacks. Its methodologies are effective, relatively easy to use, and are developing constantly in an unexpected manner. As a result, rapidly detecting malware propagation websites from a myriad of webpages is a difficult task. In this paper, we present LoGos, an automated high‐interaction dynamic analyzer optimized for a browser‐based Windows virtual machine environment. LoGos utilizes Internet Explorer injection and API hooks, and scrutinizes malicious behaviors such as new network connections, unused open ports, registry modifications, and file creation. Based on the obtained results, LoGos can determine the maliciousness level. This model forms a very lightweight system. Thus, it is approximately 10 to 18 times faster than systems proposed in previous work. In addition, it provides high detection rates that are equal to those of state‐of‐the‐art tools. LoGos is a closed tool that can detect an extensive array of malicious webpages. We prove the efficiency and effectiveness of the tool by analyzing almost 0.36 M domains and 3.2 M webpages on a daily basis.     

基于Windows平台的安全密码框研究与实现

用于恶意目的的键盘记录器通过截取用户击键来获取机密信息,对计算机安全造成严重威胁。研究并实现确保安全输入的密码框可保护系统免受恶意键盘记录器的威胁。针对各种键盘记录技术,研究安全密码框的保护措施,实现一种结合应用层防护和内核层防护的安全密码框。在应用层中,采用消息钩子和输入表挂钩（IAT Hook）的方法保护重要消息不被截取;在内核层中,使用高级可编程中断控制器（IOAPIC）重定位键盘中断处理函数的方法进行驱动级保护。对于保护密码的安全输入提供了现实的方法。     

基于遗传算法的恶意代码对抗样本生成方法

机器学习已经广泛应用于恶意代码检测中,并在恶意代码检测产品中发挥重要作用。构建针对恶意代码检测机器学习模型的对抗样本,是发掘恶意代码检测模型缺陷,评估和完善恶意代码检测系统的关键。该文提出一种基于遗传算法的恶意代码对抗样本生成方法,生成的样本在有效对抗基于机器学习的恶意代码检测模型的同时,确保了恶意代码样本的可执行和恶意行为的一致性,有效提升了生成对抗样本的真实性和模型对抗评估的准确性。实验表明,该文提出的对抗样本生成方法使MalConv恶意代码检测模型的检测准确率下降了14.65%;并可直接对VirusTotal中4款基于机器学习的恶意代码检测商用引擎形成有效的干扰,其中,Cylance的检测准确率只有53.55%。     

基于Win32 API调用监控的恶意代码检测技术研究

论文首先分析了现有动态检测恶意代码技术的不足,指出其受恶意代码的旁路攻击和拟态攻击的可能。然后,提出了防范此类攻击的API陷阱技术和调用地址混淆技术。最后由此实现了一个基于Win32API调用监控的恶意代码检测系统,经实验证明,该系统能检测出已知和未知的恶意代码的攻击。     

恶意节点容忍的间断连接无线网络消息转发策略

间断连接无线网络中的节点以协作方式完成消息投递,恶意节点将严重影响网络性能。利用节点历史行为信息,该文提出一种恶意节点容忍的消息转发策略,节点结合直接观察信息与邻居节点的推荐信息,通过动态推荐声誉阈值感知节点恶意行为,进而利用证据理论量化节点信任度,从而检测网络中串谋及独立的恶意节点,为消息选择最优的转发节点。结果表明,在带有串谋的恶意攻击下,所提出的消息转发策略能准确检测出恶意节点,并显著提高消息投递率,改善平均时延。     

一种静态Android程序恶意性检测方法

分析Android恶意程序行为特征,研究基于静态行为特征的Android程序恶意性检测方法及其实现方案,根据程序的静态行为特征来判断程序是否具有恶意性。针对Kirin方案做了2个方面的改进,一方面增加了对API的检测,细化了检测粒度,另一方面量化了不同静态行为特征的恶意性指数,通过计算程序的恶意性指数来分析程序的安全等级。实验结果表明,该方法能够有效地检测Android程序的恶意性程度。