首页 | 本学科首页   官方微博 | 高级检索  
     

基于内存扫描的隐藏进程检测技术
引用本文:王璟,武东英.基于内存扫描的隐藏进程检测技术[J].计算机应用,2009,29(Z1).
作者姓名:王璟  武东英
作者单位:信息工程大学,信息工程学院,郑州,450000
摘    要:针对恶意代码普遍使用Rootkit技术来隐藏自身进程这一特点,提出了基于内存扫描的隐藏进程检测方法。该方法通过对系统高端虚拟内存的扫描,判断其中存在的Windows内核对象的类型,得到可信的系统进程信息,从而实现对隐藏进程的检测。同时,该检测方法可以实现对其他类型的Windows内核对象的扫描,具有一定的扩展性。

关 键 词:内存扫描  隐藏进程  检测  Windows内核对象  PAE模式  

Hidden process detection techniques based on memory scanning
WANG Jing,WU Dong-ying.Hidden process detection techniques based on memory scanning[J].journal of Computer Applications,2009,29(Z1).
Authors:WANG Jing  WU Dong-ying
Affiliation:Institute of Information Engineering;Information Engineering University;Zhengzhou Henan 450000;China
Abstract:Malicious code commonly uses Rootkit technology to hide its own process,in order to detect malicious code.This article proposed a hidden process detection method based on scanning the memory.The authors scanned the system high-end virtual memory,estimated the Windows kernel object type and got the trustworthy system process information,thus achieving the hidden process detection.At the same way,this detection method could be used on other types of Windows kernel object scanning with a certain extensibility.
Keywords:memory scanning  hidden process  detection  Windows kernel object  PAE mode  
本文献已被 CNKI 万方数据 等数据库收录!
设为首页 | 免责声明 | 关于勤云 | 加入收藏

Copyright©北京勤云科技发展有限公司  京ICP备09084417号