基于Detours的文件操作监控方案

研究了两种文件操作监控常用的API钩挂技术,通过实验指出IAT Hook技术的不稳定性,提出使用基于Inline Hook技术的Detours来解决explorer.exe错误。最后给出了文件操作监控方案的实现方法,并对Detours技术进行了详细阐述。经测实验证,该方案确实能有效实现文件的安全保护。     

在远程进程中注入DLL钩挂IAT的方法

为了安装自定义的函数钩子,可通过钩挂PE文件的导入地址表(IAT)来实现。介绍利用导入表钩挂IAT的2种方法:直接钩挂法和间接钩挂法。用Win32汇编实现2种方法的导入地址表钩子,将DLL注入远程进程中,对钩子模块钩挂IAT的效果进行了测试,结果表明:2种方法都能可靠钩挂IAT。并对钩挂IAT中的一些问题进行了讨论。     

利用核心态钩挂技术防止代码注入攻击

为防止代码注入攻击，利用钩挂技术来监视有关的API函数调用十分必要。由于Windows NT系统中存在着严格的进程隔离机制，此种钩挂要在核心态下才有效。提出并讨论了实现此种技术的一种简便的方法。实践表明，在Windows XP系统条件下，利用它能够成功阻止木马利用代码注入实现攻击。     

通过IAT Hook调试Windows自定义未处理异常过滤器

Windows自定义未处理异常过滤器在程序崩溃时是查找原因的重要途径,实现了一种使用IAT(Import Address Table) Hook改变Windows处理未处理异常的流程来调试自定义未处理异常过滤器的代码的方法,简化此部分代码的错误检查工作,此方法兼容性和复用性较高。Hook API方法采用比较挂钩函数的返回地址来确定其调用函数,改进了普通的IAT Hook方法影响整个进程内所有调用的缺点。     

利用API拦截技术监视文件操作

介绍了API拦截(API Hook)技术及其应用领域,并在此基础上,详细说明了利用陷阱式API HOOK技术实现文件操作监视的原理和实现方法,同时给出C Builder综合实例.     

基于动态追踪技术侦测API钩挂

作为构筑各类应用基础的API函数的执行通常要历经用户状态和核心状态的多个模块,环节众多,很容易受到不安全模块的HOOK攻击,严重威胁整个系统的安全.针对此问题,提出了动态跟踪API函数执行流程,并结合搜索到的模块信息,确定执行流程中是否存在钩挂模块的方法.系统测试结果表明,该方法能够有效地追踪到从发起函数调用到内核系统服务调用所经历的模块信息,为确保API函数的安全运行奠定了良好的基础.     

二次跳转的SSDT钩挂及其检测方法研究

对传统SSDT钩挂（SSDT_Hook）及其检测方法进行了分析,同时分析了一种经过了二次跳转的SSDT钩挂方法。该方法使用了MOV指令跳转到可信任地址空间,再二次跳转到恶意代码中,突破了传统主动防御系统的JMP指令检测法和指令跳转分析法。最后,给出了一种针对该SSDT_Hook的检测方法,重点对传统检测方法中的SSDT寻址方法进行了改进,取得了较好的效果。     

Windows系统API函数拦截技术研究

API函数拦截是指通过特定的方法中断API函数的调用,转而执行用户的功能代码的一种行为。该技术由代码加载和用户代码组成。文中首先详细讨论了Windows系统中三种代码加载技术:Hook(钩子)、使用动态链接库的远线程插入和使用代码段的远线程插入。同时对这三种技术的优缺点进行了分析,给出了它们各自的应用场合。最后给出了一种函数拦截系统的设计和实现。     

Web Services服务质量度量工具的研究

提出了一种基于API Hook技术的方法来对Web Services的服务质量(QoS)进行度量,该方法可以在Web服务的客户端和服务端度量多种QoS属性,具有客观化、自动化和轻量化的特点.还给出了一个基于该方法的度量工具原型实现.     

打印监控审计技术研究

打印监控与审计是主机安全保护的一项重要内容.对打印机打印内容的监控与审计技术往往难以适应实际应用环境的要求,造成对打印内容监控审计的遗漏和不完备,使其成为监控审计的难点之一.分析了Windows平台下打印体系结构,详细阐述了API Hook、Driver Hook,虚拟打印机和轮询打印队列,这4种主要的打印监控审计技术的原理与实现算法,并分析了采用该监控技术在实际打印监控应用中的优点与不足.最后,综合各种监控技术的优缺点,给出了未来打印监控审计技术的一种发展趋势和应用方案.     

WINDOWS系统的挂钩技术

首先介绍了 Windows的挂钩的类型及基本使用方法 ,通过一个简单实例讨论了在 Windows系统中如何借助于挂钩技术监控特定的消息的方法 ,最后对该技术进行了总结。     

基于API捕获的SSL VPN中支持传统应用的研究

文章介绍了SSL协议和VPN技术,在分析一般SSLVPN只支持Web应用的基础上,引入了API捕获技术和Windows钩子机制来研究在SSLVPN中支持传统应用的实现,扩展了SSLVPN的应用范围,提高了其灵活性及适应能力。     

API函数截获关键技术研究

文中介绍了API函数截获技术的原理，重点讨论了所涉及到的若干关键技术，剖析了PE文件的引入函数表格式，给出了利用钩子打破进程边界的方法，并对截获过程中存在的不稳定、效率低等问题提出了自己的解决方法。应用文中所介绍的方法，作者在某矿务系统的软件改造项目中成功地实现了基于API截获技术的实时数据采集，完成了对已有软件系统的功能升级。实践证明，API截获技术及其思想具有很强的实用性，可以解决一些常规的方法不能解决的问题，能很好地使用在诸如实时数据采集等场合。     

基于Hook的程序异常行为检测系统设计与实现

从程序访问的资源入手,从中重点选取了注册表、文件以及创建其它进程这些资源的操作为主要监控点,实时检测进程操作资源的行为,并进行关联分析,给出了一种基于系统服务Hook的程序异常行为检测系统.重点介绍了Hook相关技术和该系统的设计结构与实现要点.最后,通过实验验证了该系统的可行性和有效性.     

基于HSC的进程隐藏检测技术

介绍了目前Windows下常见的进程隐藏检测技术,提出了基于截获系统调用（HSC)的进程隐藏检测技术,利用隐藏进程的行为特征,通过截获系统调用建立完整的进程列表来检测隐藏进程,并针对该技术对抗RootKit的攻击提出了改进。该种隐藏进程的检测方法十分可靠,可以检测出常规安全检测工具不能发现的系统恶意程序。     

HOOK API技术内幕

HOOK是一个永恒的话题,如果没有HOOK,许多技术将很难实现,也许根本不能实现。可以用这样一句话来概括HOOK:没有HOOK,就没有今天多姿多彩的软件世界。HOO KAPI是HOOK技术里非常重要的一种,那么究竟是什么HOO KAPI,如何来进行HOO KAPI呢?该文带你进入HOO KAPI的世界。     

一种防窃密个人防火墙的设计与实现

个人防火墙是保障桌面系统安全的一种有效手段。针对日益严重的网络窃密,本文设计并实现了一种防窃密个人防火墙。在内核模式下探索、使用了未公开的NDISHook底层驱动开发技术,提高了健壮性。该防火墙嵌入了基于网络的入侵检测模块,并为主机入侵检测提供了响应接口,增强了防窃密功能。     

基于LTSA标准的应用软件远程教学系统

本文在详细研究IEEE P1484．1标准草案的基础上，提出了一个新的远程软件教学系统(EPSS)。嵌入浏览器的客户端应用程序通过DCCOM与远端服务器通信，学习者在服务器的监控和指导下完成应用程序相关功能的学习。系统最大的特点是将LTSA体系结构应用于实际。最后，简要介绍了一系统用到的DCCOM、钩子、屏幕取词等几项关键技术。     

利用Hook技术实现进程控制

Windows系统是基于消息,建立在事件驱动基础上的操作系统。Hook是Windows系统消息处理机制中的一个监视点。Hook机制允许应用程序截获消息并进行处理,它为我们实现进程的控制提供了条件。本文介绍了一些关于Hook的知识以及结合进程快照和动态链接库,利用Win32 Hook技术实现对进程控制的方法。