内核级木马隐藏技术研究与实践

文章通过对现有Linux下的内核级木马的隐藏和检测技术的分析研究，讨论了有关的隐藏和检测技术，并在此基础上实现了一个内核级木马。通过实验测试，该木马达到了较好的隐藏效果，可以避过目前大多数检测工具的检测。     

模块二进制木马分析方法的研究与实现

内核级木马是黑客入侵系统后保留后门的重要技术。文章主要分析和讨论了目前Linux下的常见的内核级木马的隐藏方法及其检测原理,重点分析了基于符号执行的模块二进制木马分析方法。     

Linux实时内存的研究与实现

Linux系统采用了虚拟存储技术,当请求的页面不在内存中时触发缺页中断,由此带来的延迟不确定,故不能满足实时应用程序的要求.此外,对于用户态和内核态存在大量数据传输的情况下,通用Linux系统也不能满足实时应用程序的需求.针对以上问题,讨论了Linux的内存管理,并采用内存映射技术来解决虚拟内存的换页问题以及实现用户态和内核态共享一块物理内存来满足实时应用程序的需求.在文章的最后,测试和比较了采用内存映射技术实现实时内存的性能.测试结果表明,采用该技术可以有效地为实时应用程序提供实时内存.     

Rootkit木马隐藏技术分析与检测技术综述

对Rootkit技术和Windows操作系统内核工作流程作了简要介绍,对Rootkit木马的隐藏技术进行了分析,内容包括删除进程双向链表中的进程对象实现进程隐藏、SSDT表内核挂钩实现进程、文件和注册表键值隐藏和端口隐藏等Rootkit木马的隐藏机理,同时还对通过更改注册表和修改寄存器CR0的写保护位两种方式屏蔽WindowsXP和2003操作系统SSDT表只读属性的技术手段做了简要分析。最后对采用删除进程双项链表上的进程对象、更改内核执行路径和SSDT表内核调用挂钩3种Rootkit隐藏木马的检测技术作了概要性综述。     

基于API HOOK技术的特洛伊木马攻防研究

文章首先对Windows下的API HOOK技术进行分析研究,并将该技术运用于特洛伊木马的属性隐藏中。然后在此基础上实现了一个基于API HOOK技术的内核级木马。通过实验测试,该木马达到了较好的隐藏效果,可以避开目前大多数检测工具的检测。最后,讨论了基于API HOOK技术的特洛伊木马的检测技术。     

嵌入式实时操作系统eCos内存分配策略的分析

本文全面深入的探讨了eCos中内存分配策略的实现。首先，对eCos内核及内存管理方法进行了介绍，然后对四种内存分配策略进行了阐述和性能比较。对于嵌入式系统和应用的开发具有一定的参考价值。     

特洛伊木马隐藏技术研究

主要研究Linux环境下的特洛伊木马隐藏技术,提出了协同隐藏思想,并给出木马协同隐藏的形式化模型。针对现有木马对抗实时检测的缺陷和通信隐藏能力的不足,采用实时检测对抗技术和隐蔽通道技术开发了一个内核级木马原型,改进了木马的隐藏能力。通过实验结果分析,这一木马体现了协同隐藏的思想,验证了实时检测对抗技术和网络隐蔽通道技术的有效性。     

基于计算机接口的彩色液晶显示器的应用设计

介绍了VRAM型YD-601彩色液晶显示器的性能指标及接口方式, 它可以直接挂接到单片机或计算机系统的总线上,从而通过简单的内存操作即可实现彩色图文显示.介绍了其在计算机系统中的典型应用方法.采用计算机接口及内存映射等技术,实现了彩色图像显示.     

嵌入式Linux内核的虚拟地址空间映射的实现

针对嵌入式linux内核移植的需要,阐述了在嵌入式Linux内核中的虚拟地址空间映射的实现.分别从硬件,软件的角度分析了虚拟地址空间映射的基本原理,以及硬件和软件之间的各自功能和相互配合.同时,阐述了在805plus微处理器平台上虚拟地址空间映射的具体实现方案.实验表明,805plus平台在开启MMU模块后,能够在虚拟地址空间正确运行,完成内核初始化.     

一种DSP处理器内核的指令级模拟器

在DSP内核的设计、开发过程中,指令级模拟器可用于汇编程序仿真、调试,有利于加快芯片开发进度。介绍了一种由作者设计的基于MFC语言,设计面向对象操作界面的DSP内核指令级模拟器,具体地对指令的分析判断由Lex和yacc实现,可以直观表现出汇编程序运行之后各个寄存器和内存镜像,支持单步和断点调试。     

硬件木马综述

集成电路在设计或制造过程中会受到硬件木马的攻击,使芯片与硬件的安全性受到威胁。硬件木马技术逐渐受到重视,已成为当今一个新的研究热点。文章介绍了硬件木马的概念,对三种主要的硬件木马分类方法进行了分析;着重探讨了硬件木马的检测方法。对检测方法存在的问题与面临的挑战进行了分析,指出基于旁路信号分析的硬件木马检测方法是当前最主要的一种检测方法。     

主流木马技术分析及攻防研究

对当前主流的木马技术原理进行了深入的剖析,对主流木马的基本功能、隐藏机制和传播途径进行了研究,对主流木马使用的两种技术——API HOOK技术和SPI技术进行了细致地分析,根据新型木马实现隐藏的机制,提出了相关检测和清除的技术,探索出了一种新型木马的检测和清除方法。最后总结出了可以对新型木马实施清除的有效方法,实现了利用迭代比较法查杀木马的示例软件。     

基于DLL的特洛伊木马隐藏技术研究

隐藏技术一直是木马设计人员研究的重要技术。在分析原有木马隐藏方法的基础上，提出了使用动态链接库（DLL）与线程技术相结合的木马进程隐藏方案，用动态链接库编程技术代替传统木马程序，并用线程嫁接技术将其植入目标进程，具有很好的隐蔽性和灵活性。     

现代木马植入技术研究及其防范

木马发展至今产生了一些经典植入技术手段,而现代木马植入技术在继承原有经典方法基础上进一步纵深拓展,同时不断挖掘新的手段。对于现代木马主流植入技术,文中从被动植入和主动植入两大方面做了较为系统和详细的研究,其中介绍了一些较新颖的技术方案,概述了突破UAC（User Account Control）安全防护机制的新技术手段,最后提出一些对应的安全防范措施,从而可对现代木马植入技术发展及防护方法有一个针对性的系统把握和认识。     

木马的植入与隐藏技术分析

论文首先介绍了木马的定义,概括了木马的特征——隐蔽性、欺骗性、自启动性和自动恢复性,并简单介绍了木马的结构和功能。随后,从缓冲区溢出、网站挂马、电子邮件、QQ传播等方面介绍了木马的植入技术,重点从通信隐藏、进程隐藏、文件隐藏三个方面介绍了木马的隐藏技术,最后展望了木马技术的发展趋势。     

融入环形振荡器木马特征的无监督硬件木马检测

机器学习用于集成电路硬件木马的检测可以有效提高检测率。无监督学习方法在特征选择上还存在不足,目前研究工作主要集中于有监督学习方法。文章引入环形振荡器木马的新特征,研究基于无监督机器学习的硬件木马检测方法。首先针对待测电路网表,提取每个节点的5维特征值,然后利用局部离群因子(LOF)算法计算各节点的LOF值,筛选出硬件木马节点。对Trust-HUB基准电路的仿真实验结果表明,该方法用于网表级电路硬件木马的检测,与现有基于无监督学习的检测方法相比,TPR(真阳性率)、P(精度)和F(度量)分别提升了16.19%、10.79%和15.56%。针对Trust-HUB基准电路的硬件木马检测的平均TPR、TNR和A,分别达到了58.61%、97.09%和95.60%。     

基于综合行为特征的木马检测技术研究

随着计算机网络技术的快速发展和中国信息化工作的快速推进,如何更有效地检测及防范木马是一个重要的研究方向。文中重点讨论的是,在Windows系统下,基于木马综合行为特征分析的木马检测技术、木马分析检测算法和识别方法,设计并实现了一套针对特种木马的检测软件原型系统。     

基于IAT表的木马自启动技术

随着注册表监视软件的普及以及系统文件保护机制的增强,木马如何安全隐蔽的随机自启动成为一个挑战。论文描述了在Windows XP SP2环境中如何突破系统文件保护,实现基于IAT表的木马隐蔽自启动技术。     

基于数据二极管技术的摆渡木马防御研究

电子文件具有易复制和易传播的特点,如何防止电子文件被恶意窃取和传播,是电子文件安全面临的突出难题。针对借助移动存储介质入侵的摆渡木马进行了阐述,提出了防护摆渡木马的方法。通过访问控制技术和数据二极管技术,实现数据流的单向传输,为电子文件的共享和交流建立安全屏障,从根本上解决摆渡木马恶意窃取、传播文件的问题,从而保证电子文件的安全。