共查询到20条相似文献,搜索用时 46 毫秒
1.
《信息工程大学学报》2016,17(5)
Intel VT硬件虚拟化技术使Rootkit可以利用底层优势实现深度隐藏。首先结合木马协同隐藏的思想,提出了基于Intel VT硬件虚拟化的Rootkit(HVRootkit)的协同隐藏模型,并给出形式化描述;然后根据该模型,在深入分析进程切换过程和操作系统内核数据结构的基础上,设计并实现了HVRootkit原型,该原型能够监控系统进程的切换过程,并通过修改与内核层进程视图和用户层进程视图相关的数据结构,隐藏系统进程。实验表明,HVRootkit原型符合协同隐藏的思想,能够实现对进程的深度隐藏,隐藏性能明显优于传统的内核级Rootkit。 相似文献
2.
Rootkit所采用的大部分技术和技巧都用于在计算机上隐藏代码和数据,而隐藏的前提就是在第一时间取得对计算机的控制权.为了实现这个目的,在对BIOS Rootkit的检测技术进行研究的基础上,提出了一种新的检测方法.实验结果表明,该方法切实可行. 相似文献
3.
目前网络安全应用的技术有很多,但是能够不被管理员发觉而悄无声息的收集数据的只有Rootkit.随着人们对Rootkit隐身技术的研究,它在网络安全中发挥的影响越来越大.本文分析Rootkit进程隐藏实现思想,给出了Rootkit实现隐藏进程的具体方法,为进一步研究Rootkti相关的木马病毒以及相应的木马病毒检测提供有效的帮助. 相似文献
4.
恶意代码通过访问或者加载内核代码,实现权限提升、自身隐蔽、敏感信息截获等功能,对操作系统的安全带来严重的危害。因此,如何保护操作系统内核的完整性成了目前的研究热点。硬件虚拟化技术为内核的安全保障提供了有力的支持。本文提出了一种采用硬件虚拟化的内核数据主动保护方法,该方法对关键寄存器、代码指针表、函数代码等恶意代码攻击的关键点进行识别和放入保护区,利用硬件虚拟化的自动陷入机制检测对保护区的非法篡改。同时,利用单步执行技术和事件转发技术保障OS其它操作的兼容性。另外,通过保护页的合并减少保护区的长度以提高异常处理的效率。最后,实现了一个采用该技术的原型工具-HV_KDAP,该工具检测了主流的9款Rootkit样本,实验结果证实其增加的负载为12.7%。该工具还可以抑制内核本地权限提升的攻击,以及用于内核攻击的取证。 相似文献
5.
Rootkit是一种持久且难以察觉地存在于网络系统中的恶意代码,通过修改操作系统内核或更改指令执行路径,为攻击者提供隐匿自身、维持访问和软件窃听功能,已造成了严重的网络安全威胁。该文首先介绍了Rootkit的基本定义与演化过程,其次剖析了Windows系统中与Rootkit密切相关的内核组件和Rootkit的工作机制;然后讨论了Rootkit防御机制与检测方法;最后探讨了Rootkit的发展趋势和Rootkit防御的进一步研究方向。 相似文献
6.
RootKit是用来维持黑客对计算机控制,使之无法检测的强力工具。当前传统的RootKit技术都有相对应的检测技术。文章介绍了内核对象内联挂接技术,延伸了现有的代码重定向技术,通过对内核对象调用路径的内联挂接,实现隐藏。现有的RootKit检测技术很难检测这种新型RootKit。因此,文章提出了基于指令跳转分析的动态RootKit检测技术,可以动态检测内核对象内联挂接的RootKit,并且能够指出这些RootKit程序的加载映像。 相似文献
7.
《重庆工业高等专科学校学报》2003,18(3):31-34
阐述入侵检测的基本原理和系统结构,介绍了当前入侵检测的主流技术及其优缺点。对于目前较流行的各种逃避检测和隐藏入侵的方式进行了探讨并指出对策。最后,介绍了当前国内外入侵检测研究的技术热点。 相似文献
8.
阐述入侵检测的基本原理和系统结构,介绍了当前入侵检测的主流技术及其优缺点,对于目前较流行的各种逃避检测和隐藏入侵的方式进行了探讨并指出对策。最后,介绍了当前国内外入侵检测研究的技术热点。 相似文献
9.
图像LSB隐藏游程检测算法 总被引:1,自引:0,他引:1
当前,基于图像LSB的隐藏算法已经成为一种主流的信息隐藏技术。根据LSB隐藏将导致图像空域像素区内LSB长游程长度偏移(减小)的特点,本文提出了能够度量这种偏移的游程检测算法,并给出了算法原理和实现方法。该算法基于盲检测、不需要训练图像数据库、在满足一定假设条件下,检测性能优良而且算法简单易于工程实现,具有一定的实用价值。 相似文献
10.
针对恶意软件躲避反恶意软件检测的进程隐藏技术,提出一种基于挂接系统服务调度表的进程检测方法,实现对隐藏进程的有效检测。通过挂接相应系统服务函数,在系统服务函数处理之前进行预处理,从而有效地防止了恶意软件通过拦截系统API函数的方式绕过进程检测。试验结果表明该检测方法是准确有效的。 相似文献
11.
Windows 7的内核完整性验证机制使得传统的内核级攻击代码失去作用。针对这一问题,在对系统启动过程中的bootmgr和winload.exe两个文件进行详细分析的基础上,通过修改这两个文件来绕过用于加载内核完整性验证过程的关键函数。测试表明,在获取提升权限的前提下,将上述两个启动文件替换后系统仍然能够正常启动而没有发现异常,说明可以对Windows 7的部分完整性验证机制实现突破。 相似文献
12.
目前的主流防御系统均通过在文件访问系统中建立文件过滤驱动来实现。为了在系统的监控下实现文件隐藏及其检测,对文件过滤型防御系统和驱动数据堆栈单元结构进行了分析,通过修改驱动堆栈单元实现了文件隐藏。针对这种隐藏方法,给出了一种直接访问磁盘检测隐藏文件的方法,经调试均获得了较好的效果。 相似文献
13.
研究当今恶意程序的发展趋势,系统比较了在注册表隐藏和检测方面的诸多技术和方法,综合分析了它们存在的不足,提出了一种基于注册表Hive文件来进行恶意程序隐藏检测的方法,使得针对恶意程序的检测更加完整和可靠。实验表明,该方法可以检测出当前所有进行了注册表隐藏的恶意程序。 相似文献
14.
阐述了Linux2.6内核工作原理。研究了进程在内核的运行方式。分析了基于Linux2.6内核下的进程隐藏机制,提出一种进程隐藏方法。即通过截获proc虚拟文件系统的读取访问,来达到进程隐藏的目的。最后编程验证了改方法的有效性。 相似文献
15.
目前在各种形式的数字信息传输中加强信息的保密和安全问题日益引起人们的关注,考虑信息隐藏技术是为信息传递者将私有信息嵌入掩饰信息中来传递消息,因此对隐藏信息的检测在信息安全方面非常重要。为了检测二值图像的隐藏信息,提出一种基于统计特征的二值图像信息隐藏检测方法。该方法利用二值图像的统计特征,找出符合二值图像信息检测需要的统计特征进行隐藏分析,通过不同的隐写方法对统计特征的影响确定用不同的特征对具体的隐写方法进行隐藏信息的检测,从而保持对载体图像含有隐藏信息检测的准确性。试验结果表明:所提出的方法检测率在90%以上,可解决当前检测系统对于海量数据的安全性测试分析。 相似文献
16.
信息隐藏技术是信息安全领域的一个重要分支.信息隐藏分析技术是信息隐藏技术的攻击技术,它通过一定的检测方法发现隐藏于载体的嵌入信息并使之失效,目的是破坏隐匿的通信系统.本文依照检测手段把检测方法进行了分类,并对目前几种主要的信息隐藏检测算法进行了详细的介绍. 相似文献
17.
《武汉大学学报(工学版)》2016,(3):452-457
针对目前亟待解决的移动支付保护问题,以主流手机操作系统Android为研究平台,提出一种对基于移动支付行为检测的移动支付保护方案.该方案以Android系统中移动支付的行为特征作为研究出发点,使用内核层系统调用作为行为检测的度量单位.同时考虑系统环境因素的影响,将获取系统资源消耗作为辅助评估支付行为,根据对当前主流的基于系统调用的恶意行为检测算法的研究和分析,构建一个结合KNN算法和贝叶斯信念网络的模型来进行恶意行为检测,并通过实验证明该方案的有效性. 相似文献
18.
基于UFEI的BOOTKIT攻击能对UFEI固件、操作系统的完整性进行破坏,严重影响计算机安全。基于此,该文提出一种新的基于UEFI固件的BOOTKIT检测方法UDS,来保护固件和操作系统的安全。UDS以UEFI虚拟设备驱动程序的形式实现,在OS之前加载启动;采用了将完整性检测与文件恢复相结合的策略,对固件和操作系统内核进行保护;并通过代码混淆和文件隐藏的方法,防止UDS自身被BOOTKIT攻击。实验表明,UDS能有效保护固件和OS的完整性,防范基于UEFI的BOOTKIT攻击,具有启动时间早、空间开销少及自我保护性好的优点。 相似文献
19.
刘志强 《桂林电子科技大学学报》2006,26(6):442-446
在误码发生严重的信道中进行视频通信,要求解码器具有强的错误检测定位和错误隐藏能力.传统的基于语法(Syntax)的检测方法低的检测率和定位率极大地影响了错误隐藏的效果.通过借助数字水印技术,将改进的迫偶标识法(FEW)应用到H.264编解码系统,用来错误检测和定位,并在H.264的JM 86平台上进行了试验.结果表明,在同等应用环境下,与传统的基于语法的检测方法相比,该方案不但切实可行,而且错误检测率和定位率均有较大提高. 相似文献
20.
写任意内存是内核漏洞中一种常见模式,对其利用技术的研究具有重要意义.首先分析传统利用技术的思路方法、利用步骤;然后分析最新的漏洞利用缓解技术工作原理,如何截断利用途径;最后针对最新的缓解技术,基于Windows自身的ACL机制提出一种新的利用方法.该方法可以有效绕过漏洞利用缓解技术,实现提权利用,具有一定的实际意义. 相似文献