Windows Rootkit隐藏技术研究

Rootkit是黑客为了隐藏其入侵痕迹、保留入侵权限而采用的一种技术。由于具有隐藏性好、难以检测的特点,Rootkit在Windows操作系统中的应用越来越广泛,并逐渐与病毒、木马、间谍软件等应用软件相结合,给网络信息安全带了严重危害。深入研究Windows操作系统中Rootkit的工作原理,对于防范其对网络安全造成的破坏有着重要的意义。     

基于WindowsAPI调用机制的Rootkit检测系统的设计与研究

从功能上来看,Rootkit是指隐藏进程、网络端口、文件痕迹等的恶意软件,现已被广泛应用在黑客入侵和攻击他人的计算机系统上。许多计算机病毒、间谍软件也都常常使用Rootkit潜伏在操作系统上伺机而动。如何有效地对Rootkit进行检测和防范成为应对木马入侵和僵尸网络的首要解决的关键问题。文章在以往的研究基础上,通过深入探讨Windows底层原理,开发了一个基于WindowsAPI调用机制的Rootkit检测系统。在该系统的帮助下,用户不但可以深入查看操作系统的各类底层信息,还可以很方便地找出隐藏在计算机之中的病毒、木马并进行清理,从而更好地保护操作系统。该系统丰富了现今针对Rootkit检测的研究成果,对后续的研究具有一定的参考价值。     

Rootkit 黑客的最强后门

黑客入侵一台主机后,通常会留下后门以继续控制主机。对于一般的后门,我们用杀毒软件即可清除,然而现在有一种极为隐蔽的后门,别说杀毒软件发现不了,即使发现了也不能完全清除。这种后门叫Rootkit,它可以隐藏系统中的文件、服务、端口、进程等,如果配合其它的木马,就成了黑客的超级武器。下面让我们来了解一下这种强大的后门工具以及清除的方法。     

掩耳不盗铃

什么叫“掩耳不盗铃“啊？如果说木马是“盗铃“的．那么它的搭档Rootkit就只负责“掩耳”。它帮助木马隐身，但现在我们可以把它们的诡计看得一清二楚。[编者按]     

Windows Vista下的Rootkit攻防

Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit通过加载特殊的驱动,修改系统内核,进而达到隐藏信息的目的。     

IceSword火眼金睛识别隐秘木马

现在的系统级后门功能越来越强,一般都可轻而易举地隐藏进程、端口、注册表、文件信息,一般的工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内核技术,使得这些后门躲无所躲。有些木马用一般的杀毒软件根本发现不了,原因是计算机系统没有免疫功能,但是它提供了对自身环境的相关检测功能——枚举进程、文件列表、级别权限保护等,大部分杀毒软件和进程工具都依赖于系统自带的检测功能才得以运作,而Rootkit木马要破坏的,正是这些功能。Rootkit木马的潜入原理要了解Rootkit木马的原理,就必须从系统原理说起,大家知道,操作系统是由…     

揪出隐藏的Rootkit木马

所谓术业有专攻,用杀毒软件来对付木马,着实有点困难。尤其是像Rootkit这类系统内核级的木马,仅仅依靠一款普通的杀毒软件是远远不够的。“超级巡警”作为一款弥补杀毒软件不足的安全工具,以检测Rootkit木马为专长,并加入了很多辅助功能,绝对是保卫我们系统的有力武器。Rootkit     

一种双重防范Rootkit的方法

提出了一种双层检测Rootkit的方法,通过对用户层的Rootkit和驱动层的Rootkit双层检测并结合现有的高效检测技术(Callstack技术),实现了一种全面高效的检测手段,从而减轻木马、病毒对计算机的危害,以达到防范更多的Rootkit.     

NOD32 antivirus防病毒软件

Rootkit走入公众的视线是因为在SONY的音乐CD和 DVD碟片中发现病毒,SONY本来是利用Rootkit技术来防止非法拷贝的。但是黑客们很快从中找出了漏洞,利用它来隐藏安装的文件、进程以及注册表信息。并借助这些漏洞传播一些高隐藏性和危害性的程序,从而对使用者的计算机造成潜在威胁。因此,Rootkit类病毒具有很     

Android系统隐藏技术及检测方法

Android木马通过获取系统root权限,修改内核表项实现隐藏功能,进而躲避木马查杀软件的检测。因此研究An-droid系统隐藏技术对于发现隐藏木马、提高查杀软件的检测能力有重要意义。文中在传统Linux系统隐藏技术的基础上,对Android系统服务启动过程进行分析,探究出适用于Android系统的隐藏方法,并实现了一种Android Rootkit木马原型,用于测试现有木马检测软件对该类型木马的检测能力。文中提出了针对此类Rootkit型木马的检测方法,实验证明这些方法对检测此类木马有一定的作用。     

DLL木马清除全攻略（下）

木马是黑客最喜欢的入侵工具,它可以让黑客毫不费力地通过秘密开启的后门进入被控机,执行探测和盗窃敏感数据。在众多的木马中,DLL木马可谓是特立独行的另类,采用进程插入技术,藏身于合法的进程之中,不露痕迹的开启后门,为黑客入侵火开方便之门。     

在Win2000里防范黑客攻击

小编这里推荐木马克星(CD1光盘中附带木马克星(iparmor)V5 42 Build 0717),它可以查杀5021种国际木马,112种电子邮件木马,保证查杀冰河类文件关联木马,oicq类寄生木马 icmp类幽灵木马,网络神偷类反弹木马,内置木马防火墙,任何黑客试图与本机建立连接,都需要Iparmor确认,不仅可以查杀木马,更可以查黑客。     

问不倒——小红伞有奖问答

问:什么是Rootkit?小红伞怎样提供防Rootkit的功能?(163_163_mail)答:要了解Rootkit是什么,先要了解计算机的管理机制。通常,如果黑客想在计算机系统中安装一种类似特洛伊木     

揭秘木马“肉鸡控制者”最新变种主要特点

近期一个借助"伪快播"木马传播的远控后门木马"肉鸡控制者"正在网上肆虐。它通过藏身在"伪快播"木马下载器中来诱惑用户下载安装,用户一旦中招,电脑便沦为黑客的"肉鸡"(被黑客控制的电脑)。     

Windows下内核级木马隐藏技术研究

木马技术是网络安全的重要方面,也是网络攻击中获取信息的重要途径.隐藏技术是木马的关键技术之一,其直接决定木马的生存能力.从Rootkit的原理分析出发,深入的研究Windows下内核级木马的隐藏技术,并在此基础上实现一个内核级木马原型,最后介绍内核级木马的检测和应对策略.     

控制远程计算机的原理及实现注销、关机和重启

互联网时代,木马的防范很重要。肉鸡就是被黑客种植了木马病毒的电脑,黑客可以远程随意操纵它。该文根据远程控制的基本原理,以木马的工作方式,实现了控制远程计算机的注销、关机和重启操作。     

克隆用户新方法与防范

成功入侵某台电脑后，为控制它而装上几个后门或木马．都是黑客常见的手法．并且．黑客通常还会通过账号克隆技术为自己准备一个带管理员权限的账号。     

Windows Rootkit隐藏技术与综合检测方法

针对Rootkit具有隐藏、通信、监听等功能但存在典型木马特征对计算机系统危害严重问题,分析近年来Windows操作系统下Rootkit中各种主流隐藏技术（包括DKOM和各种钩子）,指出当前单一检测方法的缺陷,提出综合性检测技术方案。实验结果表明,该方法达到较好的检测效果,可以对目前大多数Rootkit行为进行检测。     

《终结者》能否终结2012

说到远程控制木马，很多人的第一反应是黑客手中的破坏工具。其实归根到底木马是一种远程控制软件，通过它也可以帮助他人解决报多问题，而作为一个网管来说对此更是深有体会。今天我通过自己网管的视野，来看看。终结者”木马，是如何终结遇到的网络疑难杂症的。     

Windows系统Rootkit隐藏技术研究与实践

Rootkit是一组后门工具的集合,是特洛伊木马发展的高级阶段,其在特洛伊木马众多类别中危害性最大.深入研究Rootkit技术,做到网络攻防知己知彼,对防范木马攻击,减少网络破坏,保护重要信息系统有重要意义.通过研究Windows环境中Rootkit的隐藏技术,结合协同隐藏思想,提出了Rootkit的形式化模型,并在此基础上开发了一个Windows系统下的Rootkit原型.实验结果表明,该原型达到了较好的隐藏效果,可以避开目前大多数检测工具的检测.