Windows内核恶意代码分析与检测技术研究

Windows内核恶意代码是指能够通过改变Windows执行流程或者改变内核审计和簿记系统所依赖的数据结构等手段以达到隐藏自身,实现恶意功能的程序或程序集,对操作系统安全造成很大的危害。对近年来基于NT内核的微软Windows操作系统下恶意代码主要的隐藏实现技术（包括对进程函数、注册表函数、SSDT等的HOOK行为）进行了深入分析研究,提出了一些具有实用价值的恶意代码检测技术方案。实践表明文中提出的恶意代码分析检测技术在实际中具有积极的指导意义。     

Windows内核恶意代码分析与检测技术研究

Windows内核恶意代码是指能够通过改变Windows执行流程或者改变内核审计和簿记系统所依赖的数据结构等手段以达到隐藏自身,实现恶意功能的程序或程序集,对操作系统安全造成很大的危害.对近年来基于NT内核的微软Windows操作系统下恶意代码主要的隐藏实现技术(包括对进程函数、注册表函数、SSDT等的HOOK行为)进行了深入分析研究,提出了一些具有实用价值的恶意代码检测技术方案.实践表明文中提出的恶意代码分析检测技术在实际中具有积极的指导意义.     

Windows Rootkit进程隐藏与检测技术

进程隐藏是Rootkit技术的一种典型应用,隐藏运行的恶意代码威胁到计算机的安全。为此,通过分析Windows系统中利用Rootkit技术对进程进行隐藏的原理,针对用户模式和内核模式2种模式下进程隐藏技术的特点,提出几种不依赖于系统服务的隐藏进程检测技术。此类检测方法直接利用系统底层的数据结构,检测能力强。     

Windows平台下Rootkit进程检测

Rootkit是能够持久或可靠地存在于计算机系统上的一组程序或代码.为了达到无法检测的目的,Rootkit必须使用进程隐藏技术.Rootkit进程隐藏技术是一种以秘密方式在系统后台运行并窃取用户信息的技术.通过分析Windows平台下Rootkit进程隐藏技术的原理,研究了应用层和内核层两种模式下的Rootkit进程隐藏技术.针对Rootkit进程隐藏技术的特点,开发了一个基于句柄表三位一体交叉映射的Rootkit隐藏进程检测平台.系统测试表明,本平台能够检测出当前绝大部分主流Rootkit技术实现的隐藏进程,在实际应用中达到了较好的效果.     

基于内存扫描的隐藏进程检测技术

针对恶意代码普遍使用Rootkit技术来隐藏自身进程这一特点,提出了基于内存扫描的隐藏进程检测方法。该方法通过对系统高端虚拟内存的扫描,判断其中存在的Windows内核对象的类型,得到可信的系统进程信息,从而实现对隐藏进程的检测。同时,该检测方法可以实现对其他类型的Windows内核对象的扫描,具有一定的扩展性。     

Windows(2000/XP)下隐藏进程的检测机制

随着计算机技术的不断发展,近期出现了利用Windows(2000/XP)内核设计上的漏洞隐藏自身进程的入侵技术。针对这种隐藏技术提出了利用内核进程环境控制块(KPEB)、内核线程环境控制块(KTEB)以及Windows操作系统的调度机制来检测这些隐藏进程的新方法,并给出了代码示例。     

Windows NT下挂接SSDT隐藏进程的原理与实现

隐藏进程的方法有多种,而且有些技术已经深入到内核模式下,使计算机用户在任务管理器甚至一些检测软件中都难觅被隐藏进程的踪迹。本文详细分析了利用挂接SSDT实现进程隐藏的技术原理,给出了隐藏进程的核心算法,以及应用程序启动系统服务的方法。     

基于线程调度的隐藏进程检测技术研究

随着互联网的快速发展,信息技术已成为促进经济发展、社会进步的巨大推动力。Windows操作系统的普及和不断提升,使得基于Windows的各种进程隐藏技术迅速传播,同时对应的进程检测技术也需要进一步扩充。文章针对Windows操作系统的新版本64位Windows7系统,设计了一种基于截获SwapContext函数的隐藏进程检测方案并软件实现。实验结果表明,该方法可以全面检测64位Windows7的隐藏进程,检测结果准确、可靠,可进行实际应用。     

Windows下基于交叉视图的Rootkit进程隐藏检测技术

对现有的Windows Rootkit进程隐藏技术进行了研究,提出了基于交叉视图的Rootkit进程隐藏检测技术.该技术通过比较从操作系统的高层和底层获取到的进程列表来检测被Rootkit所隐藏的进程,其中,底层进程列表是通过搜索内存中的内核对象来获得的.实验表明,该技术具有较好的检测效果.     

基于HSC的进程隐藏检测技术

介绍了目前Windows下常见的进程隐藏检测技术,提出了基于截获系统调用（HSC)的进程隐藏检测技术,利用隐藏进程的行为特征,通过截获系统调用建立完整的进程列表来检测隐藏进程,并针对该技术对抗RootKit的攻击提出了改进。该种隐藏进程的检测方法十分可靠,可以检测出常规安全检测工具不能发现的系统恶意程序。     

驱动模式的Windows进程合法性验证

为了避免Windows平台上的恶意进程破坏系统资源,提出了通过拦截Windows进程的创建过程,并检查进程执行文件的路径来验证进程是否合法的方法。该方法以软件驱动的方式运行在系统内核态,并结合使用路径树模型来提高进程合法性验证的效率。通过该方法可以有效地拦截进程的创建过程,并验证进程执行文件路径的合法性。系统从而能够在恶意进程完成创建之前,杀死恶意进程,避免系统资源遭受破坏。     

基于WindoWs内核模式的iSCSI启动器设计

介绍了一种基于Windows 2000内核模式的iSCSI启动器设计,通过SCSI小端口驱动实现虚拟磁盘,从文件系统截取I/O请求,然后在操作系统内核根据iSCSI协议处理,并且利用TDI技术将封装好的iSCSI PDU通过TCP网络发送给目标器,从而实现了iSCSI启动器在Windows操作系统中的无缝集成.     

内核脱钩技术在检测rootkit木马信息隐藏中的应用

简要讨论了Windows内核系统服务调用机制,分析了基于rootkit技术的木马通过内核态挂钩SystemServiceDispatch-Table隐藏各种敏感信息的一般原理.在检测SystemServiceDispatchTable挂钩隐藏注册表键值的基础上,提出两种内核检测脱钩方法,实现了对rootkit挂钩的有效检测与脱钩,确保了系统荻取注册表等敏感信息的完整性.     

Windows2000内核结构的分析及驱动程序的编制

Windows2000内核模式驱动程序既具有Windows9X的特点,同时又源自NT4.0,但与后两种操作系统下的驱动程序又有不同之处。文章介绍了Windows2000下的内核模式的驱动程序,尤其是WDM驱动程序的分类和编制方法。     

基于TDI的网络虚拟磁盘驱动研究与实现

应个人网络存储应用的需要,研究和开发网络虚拟存储系统。实现这种系统的关键是开发网络虚拟磁盘驱动。通过介绍在Windows NT内核模式下设计虚拟磁盘驱动的详细原理,分析和研究网络虚拟磁盘驱动的设计与实现。开发过程中,调用TDI(Transport Driver Interface)函数,实现了网络虚拟磁盘驱动的网络功能。使用此方法开发虚拟存储系统,由于是基于Windows内核的开发,所以网络传输效率较高;另外,基于此技术的虚拟存储系统,没有改变用户的使用习惯,所以大大方便了用户的使用。     

基于Windows内核模式下进程监控的用户权限控制系统设计与实现

如何实现进程级别的访问控制仍是目前传统自主访问控制技术无法解决的问题。针对该问题,文章在深入研究Windows系统访问控制列表机制的基础上首次提出一种基于Windows内核模式下进程监控的系统访问控制方案,并给出了系统设计及关键技术的详细说明。该方案不仅解决了传统HOOK保护技术所面临的系统兼容性问题,而且将系统权限控制从账户权限控制细化到系统每一个进程的特定权限控制上,为Windows系统核心资源提供了更细颗粒度的自主访问控制。     

基于差异分析的隐蔽恶意代码检测

隐蔽性恶意程序Rootkit通过篡改系统内核代码与指令,导致操作系统返回虚假的关键系统信息,从而逃避管理员和主机型安全工具的检查.通过分析Rootkit技术的实现原理,包括进程、TCP端口、注册表和文件的隐藏技术,提出了基于差异分析的隐藏行为检测技术.该技术将可信任的系统信息与不可信任的系统信息进行比较,从而获得被隐藏的信息.最终实现了相应的原型系统.与特征码扫描法相比,该检测方法检测在未知和变形Rootkit方面具有明显优势.     

高效搜索系统内存检测隐藏进程

分析了进程隐藏方法及常用检测方法,论述了搜索系统内存检测隐藏进程的原理及实现方法,即首先判断页面是否有效,再根据EPROCESS结构体特征及OBJECT对象头特征来判断内存地址是否为EPROCESS地址,并给出PAE内存模式与普通内存模式的判别方法及两种内存模式判断页面是否有效的方法,探讨了提高搜索效率的方法.在windows 7、vista等操作系统两种内存模式上实验表明可高效枚举所有进程,包括通过挂钩枚举进程的函数或进入内核空间直接修改内核数据来达到隐藏自身目的的进程.