Windows下内核级木马隐藏技术研究

木马技术是网络安全的重要方面,也是网络攻击中获取信息的重要途径.隐藏技术是木马的关键技术之一,其直接决定木马的生存能力.从Rootkit的原理分析出发,深入的研究Windows下内核级木马的隐藏技术,并在此基础上实现一个内核级木马原型,最后介绍内核级木马的检测和应对策略.     

Windows 9x内核简析

简要介绍Windows9x的内核机制.     

Windows内核级Rootkits隐藏技术的研究

随着Rootkits技术在信息安全领域越来越受到重视,各种Anti-rootkits新技术不断出现。在各种Anti-root-kits工具的围剿下,常规的Rootkits隐藏技术难以遁形。在系统分析和深入研究传统内核级Rootkits隐藏技术的基础上,提出了一个集驱动模块整体移位、内核线程注入、IRP深度内联Hook 3种技术为一体的Rootkits隐藏技术体系。实验结果显示,基于该隐藏技术体系所实现的Rootkits能够很好地躲避专业的Anti-rootkits工具(如Rootkit Unhooker和冰刃)的检测,从而充分表明了这种三位一体的Rootkits隐藏技术体系的有效性。     

基于Windows平台的底层网络数据包捕获技术

无论是实现防火墙,NAT还是VPN,首要的任务就是获得网络上传输的数据包,在此基础上才能进行下一步的工作。通过分析Windows的网络数据传榆机制,可以定位出不同的处理关键点,从而在不同的层次上实现数据包的捕获功能,以满足不同的需要。     

Windows操作系统驱动程序浅析

很多老的DoS操作系统程序一定很怀念过去在DOS下开发程序的日子、那时候他们可以很容易地在自己的程序中对各种硬件资源进行操作，然而到了windows时代他们突然发现以前的编程手法不管用了，Windows操作系统不允许应用程序直接对计算机的硬件进行操作，对硬件的操作需要通过驱动程序这个中间环节。许多人甚至包括不     

Windows内核级防护系统

Windows操作系统是当今应用最广泛的个人计算机操作系统,针对这一操作系统的病毒和木马层出不穷。大多数杀毒软件主要依赖特征码识别技术、校验和技术、软件模拟技术检测病毒。本系统从手动杀毒角度出发,变被动防御为主动查杀,特别是Rootkit保护的内核级木马,通过检测相应的被挂钩函数,内核中被修改的地址,找到相应的进程,从而实现了木马进程的强杀、相应内核内容的恢复等功能,更有效的保护计算机操作系统的安全。     

Linux与Windows平台下的网络数据包拦截技术及应用

本文讨论了Linux与Windows平台下的网络数据包拦截技术,比较了两种技术的特点;深入分析了数据包拦截技术在防火墙中的实现;讨论了基于数据包拦截的防火墙程序设计技术;根据过滤规则对相关数据包进行拦截,实现具有个性特色的个人的防火墙系统。     

Linux下网络驱动程序分析

讨论了Linux网络驱动程序的基本原理以及它的基本实现过程,并对它的两种驱动方式－模块驱动和内核启动驱动进行了比较。     

单一内核操作系统设备驱动程序缺陷研究

设备驱动程序是操作系统内核中代码量最大、缺陷最多的组件。单一内核操作系统中驱动程序处于内核态执行,驱动程序缺陷引发的错误往往直接导致内核崩溃,极大地降低系统可用性。分析了单一内核驱动程序存在的缺陷并将其按照位置分类,介绍了驱动程序缺陷解决方法。     

内核入侵隐藏技术的研究与实现

对不支持可加载模块的系统内核入侵代码隐藏技术进行了研究.比较了内核支持可加载模块和内核不支持可加载模块的内核入侵的方法区别,阐述了内核入侵在求解系统调用表的地址、kmalloc函数的地址、编写函数分配内核空间内存、编写入侵代码、汇编代码处理、提取代码段及重定位信息、分配内核空间的内存、代码写入分配的内存等八个主要流程.在总结入侵代码隐藏技术原理的基础上,给出了入侵代码隐藏文件信息、进程信息和网络连接技术的详细设计实现.     

基于hook的Windows防火墙驱动程序研究与设计

在分析介绍Windows 2000/XP平台的网络驱动程序的基础上,提出了一种使用NDIS hook技术实现防火墙驱动程序的方法。这种方法不同于已有的API hook技术,它无需重新启动操作系统就能生效,并增强了抵御网络攻击的能力。由于它工作在网络层,可以对所有进出计算机的数据包进行过滤,因此可以更方便有效地保护用户信息安全。同时提出并设计了一个基于共享内存和事件对象的驱动程序通信模型。分析证明该模型可有效提高驱动程序与应用程序通信的效率。     

Windows下系统服务Rootkits的检测与恢复

Rootkits是入侵者隐藏踪迹和保留访问权限的工具集.修改操作系统内核的Rootkit称之为内核Rootldt,使操作系统本身变得不可信任,造成极大的安全隐患.针对系统服务的Rootkits是内核中最常见的Rootkits.分析了当前Windows下系统服务各种Rootkits,提出了一种利用驱动程序,无需符号文件的检测和修复方法,能准确检测出Windows下各种系统服务Rootkits并且进行恢复.     

基于关联技术检测Rootkits的方法与实现

文本分析了当前Rootkits实现技术和对Rootkits恶意程序检测方法的局限性,提出了基于关联检测技术对Rootkits进行更全面检测的方法,用于克服传统安全软件对Rootkits检测方法单一、病毒库更新滞后等所带来的相关安全问题。     

一种基于交叉视图的Windows Rootkit检测方法

针对互联网上日益流行的Windows Rootkit程序的实现机制,本文分析了现有的检测方法,指出了其中可能存在的不足,在此基础上提出了一种基于交叉视图的Windows Rootkit检测方法,给出了基本检测思想以及具体实现步骤,讨论了其中关键检测步骤的处理过程,并通过一个有代表性的实例给出了实际的检测效果。     

Windows7SP1下DKOM防攻击技术研究

Windows在内存中存储了一些记账信息,用于管理进程、线程、设备驱动程序等对象,并报告给用户,向用户反映系统的运行状况.由于这些信息位于内存中,因此可以直接对其进行修改.文章以微软公司最新的操作系统Windows7 SP1为平台,揭示了Windows7 SP1为进程、线程、驱动等对象建立的一系列结构体和链表,并提出了几种方法,通过修改这些结构体和链表,达到保护、隐藏进程和驱动的目的.     

基于NDIS Hook的网络数据包拦截和发送技术研究

结合实际项目经验,主要介绍了目前个人防火墙最为广泛使用的技术——NDIS Hook技术,重点探讨了如何使用NDIS Hook技术在NDIS层实现数据包的拦截与发送。     

基于Windows200x的WDM体系的IP过滤实现技术

基于内容的IP包过滤技术涉及到操作系统的内核态技术.通过对比用户态及内核态的特征,分析了Windows内核态的网络编程接口,采用了WDM的驱动程序模式体系及NDIS的层次架构.遵循IRP(I/O request packet)规范,实现了具有Miniport和Protocol层的中间驱动程序,并透明钩挂,截取、分析IP包.具体给出了Windows 200X系统中实现IP包过滤的鳊程技术方案.     

Windows操作系统的信息监控方法研究

随着计算机网络技术的发展,安全问题日益受到人们的重视。计算机信息安全可分为网络安全和主机安全两大类。长期以来人们很重视网络安全而忽视主机安全,随着信息安全技术的发展,主机安全问题也越来越受到重视。主要从工程实现角度研究了几种基于Windows操作系统的本地监控信息方法。依据分层的Windows软件系统,顺次分析了基于应用层Windows窗口消息的hook方法,基于应用层Win32函数的Detour方法和基于内核层的Dilter Driver方法。