共查询到17条相似文献,搜索用时 109 毫秒
1.
通过分析Bootkit采用的关键技术,研究目前已有Bootkit样本的工作原理,给出插入攻击型Bootkit形式化描述,建立一个通用的插入攻击型Bootkit模型.针对该模型建立了Bootkit检测模型,并在检测模型基础上提出新的检测算法.新算法不仅能检测目前已有的样本,而且适用于所有符合插入攻击型Bootkit模型的未知Bootkit.最后对该检测算法进行了测试,实验结果表明,提出的算法可对Windows平台上的多款基于NT内核的Bootkit实现有效检测,同时能够确定Bootkit的类型. 相似文献
2.
ARM Linux嵌入式设备正遭受着日益严重的Bootkit威胁。针对传统检测技术对Bootkit检测的局限性,提出了一种基于JTAG的固件底层检测方法。该方法以基本块级跟踪和循环识别构成的系统跟踪优化算法为基础,利用跟踪系统的启动过程中记录到的信息,对Bootloader引导阶段和内核启动阶段进行监控,从而实现对ARM Linux嵌入式设备Bootkit的分阶段检测。实验结果表明,以跟踪优化算法为基础的Bootkit分段检测技术不仅极大提高了跟踪效率,亦有效检测出了Bootkit的存在,达到了预期效果。 相似文献
3.
统一可扩展固件接口(UEFI)缺乏相应的安全保障机制,易受恶意代码的攻击,而传统的计算机安全系统无法为固件启动过程和操作系统引导过程提供安全保护。针对上述问题,设计基于UEFI的恶意代码防范系统。该系统利用多模式匹配算法实现特征码检测引擎,用于在计算机启动过程中检测与清除恶意代码,并提供恶意启动项处理及系统内核文件备份等功能。实验结果证明,该系统能为固件及上层操作系统提供完善的安全保护,且代码尺寸小、检测速度快,恶意代码识别率高。 相似文献
4.
作为新型的劫持系统内核技术,Windows Bootkit具有较强的隐蔽性和免杀能力,引发了严峻的计算机安全问题。通过分析研究Windows Bootkit的实现方式,并结合可信计算检测原理,设计了一种基于可信计算技术的Windows Bootkit检测系统,应用结果表明,该系统能检测出各种形式的Windows Bootkit,可有效增强Windows操作系统下计算机的安全性。 相似文献
5.
基于PBD技术的Anti-Bootkit优先启动 总被引:1,自引:0,他引:1
Bootkit是继承自Rootkit内核权限获取和自我痕迹擦除技术的Rootkit高级发展形式,对系统启动和内核准入安全提出了最新挑战。在Bootkit入侵和Anti-Bootkit的检测的攻防对抗中,能做到优先启动往往是制胜的关键;而目前主流的Anti-Bootkit/Rootkit软件由于固守传统的启动方式,很容易被Bootkit利用固有优势绕过、劫控、篡改、移除而形同虚设。通过反汇编并跟踪调试Windows引导执行流程,反利用Bootkit入侵思想,提出了新的利用PBD(pre-bootable d 相似文献
6.
7.
8.
《计算机应用与软件》2015,(9)
内核态恶意代码作为破坏操作系统内核,隐藏其他恶意代码的一种恶意程序,已经成为了操作系统安全的重要威胁。近年来出现的一种新的伴随操作系统启动加载的恶意程序通过对计算机启动过程进行劫持,在操作系统启动完成之前实现自身的加载和运行。其结合了普通内核级恶意代码特点和优先于操作系统启动并根植于系统硬件等优势,比普通内核级恶意代码具有更强的隐蔽性和破坏性。分析这种新型恶意代码。首先对其技术发展进行梳理,然后重点针对Windows下典型的启动型恶意代码,分析其在操作系统启动过程的不同阶段中环环相扣的实现技术原理。最后分析了目前检测技术现状,指出现有的检测方法过于依赖在线检测和完整性检测,从两方面提出了改进建议。 相似文献
9.
10.
11.
Android木马通过获取系统root权限,修改内核表项实现隐藏功能,进而躲避木马查杀软件的检测。因此研究An-droid系统隐藏技术对于发现隐藏木马、提高查杀软件的检测能力有重要意义。文中在传统Linux系统隐藏技术的基础上,对Android系统服务启动过程进行分析,探究出适用于Android系统的隐藏方法,并实现了一种Android Rootkit木马原型,用于测试现有木马检测软件对该类型木马的检测能力。文中提出了针对此类Rootkit型木马的检测方法,实验证明这些方法对检测此类木马有一定的作用。 相似文献
12.
13.
随着黑客攻击技术的不断进步,网络安全面临越来越严重的威胁。由于不能确保系统不被黑客攻击,也无法确定用户操作的文件或程序是否含有恶意的代码,因而,及时发现系统中存在的木马程序或者含有恶意代码的文件,是确保系统信息安全的重要途径。目前的许多木马检测软件仅能对已知的木马进行检测,对未知木马却无可奈何。文章在分析和综合当前木马检测技术的基础上,设计并实现了一个在Windows系统中行之有效的木马检测系统,不仅能有效检测已知的木马,还能对未知的木马进行有效的预防,通过对未知木马的特征进行自主式学习,并应用于检测,从而提高木马检测的功能。 相似文献
14.
Rootkit是一组后门工具的集合,是特洛伊木马发展的高级阶段,其在特洛伊木马众多类别中危害性最大.深入研究Rootkit技术,做到网络攻防知己知彼,对防范木马攻击,减少网络破坏,保护重要信息系统有重要意义.通过研究Windows环境中Rootkit的隐藏技术,结合协同隐藏思想,提出了Rootkit的形式化模型,并在此基础上开发了一个Windows系统下的Rootkit原型.实验结果表明,该原型达到了较好的隐藏效果,可以避开目前大多数检测工具的检测. 相似文献
15.
人工免疫在未知木马检测中的应用研究* 总被引:2,自引:1,他引:1
针对传统木马检测技术比较被动这一缺陷,提出一种基于人工免疫原理的木马检测方法。利用人工免疫具有自适应以及免疫学习能力的特点,将人工免疫原理应用到木马检测中。分析了数据来源特征,给出了计算抗体与抗原或抗体与抗体之间相似度以及抗体的适应度公式,建立了一个木马检测系统模型;实验测试了利用人工免疫的方式检测木马能有效提高木马检测的检测率,减少误报率。 相似文献
16.