基于WindowsAPI调用机制的Rootkit检测系统的设计与研究

从功能上来看,Rootkit是指隐藏进程、网络端口、文件痕迹等的恶意软件,现已被广泛应用在黑客入侵和攻击他人的计算机系统上。许多计算机病毒、间谍软件也都常常使用Rootkit潜伏在操作系统上伺机而动。如何有效地对Rootkit进行检测和防范成为应对木马入侵和僵尸网络的首要解决的关键问题。文章在以往的研究基础上,通过深入探讨Windows底层原理,开发了一个基于WindowsAPI调用机制的Rootkit检测系统。在该系统的帮助下,用户不但可以深入查看操作系统的各类底层信息,还可以很方便地找出隐藏在计算机之中的病毒、木马并进行清理,从而更好地保护操作系统。该系统丰富了现今针对Rootkit检测的研究成果,对后续的研究具有一定的参考价值。     

LINUX操作系统下ROOTKIT检测技术研究

Rootkit是攻击者在入侵操作系统后用来保持对系统的超级用户访问权限,创建后门和隐藏攻击痕迹等常采用的一种技术,Rootkit存在于Linux、Solaris和Windows等各种操作系统上。本文所研究的技术主要用于检测Linux系统下的后门程序Rootkit。采取了以事后行为的检测为主,实时的检测为辅的思路。以检测引擎逐项检测,而所需的Rootkit特征库定时更新。另外为了防备用户在使用中触发某些恶意程序,检测程序也提供了实时监控的功能。     

Windows Rootkit隐藏技术与综合检测方法

针对Rootkit具有隐藏、通信、监听等功能但存在典型木马特征对计算机系统危害严重问题,分析近年来Windows操作系统下Rootkit中各种主流隐藏技术（包括DKOM和各种钩子）,指出当前单一检测方法的缺陷,提出综合性检测技术方案。实验结果表明,该方法达到较好的检测效果,可以对目前大多数Rootkit行为进行检测。     

Windows下基于交叉视图的Rootkit进程隐藏检测技术

对现有的Windows Rootkit进程隐藏技术进行了研究,提出了基于交叉视图的Rootkit进程隐藏检测技术.该技术通过比较从操作系统的高层和底层获取到的进程列表来检测被Rootkit所隐藏的进程,其中,底层进程列表是通过搜索内存中的内核对象来获得的.实验表明,该技术具有较好的检测效果.     

Windows系统Rootkit隐藏技术研究与实践

Rootkit是一组后门工具的集合,是特洛伊木马发展的高级阶段,其在特洛伊木马众多类别中危害性最大.深入研究Rootkit技术,做到网络攻防知己知彼,对防范木马攻击,减少网络破坏,保护重要信息系统有重要意义.通过研究Windows环境中Rootkit的隐藏技术,结合协同隐藏思想,提出了Rootkit的形式化模型,并在此基础上开发了一个Windows系统下的Rootkit原型.实验结果表明,该原型达到了较好的隐藏效果,可以避开目前大多数检测工具的检测.     

Windows Rootkit技术概述

Rootkit是攻击者用来隐藏踪迹和保留访问权限的工具集,加载入系统内核的内核级rootkit使得操作系统本身变得不可信任,造成极大的安全隐患。而结合rootkit技术的木马则变的更加隐蔽。本文将详细讨论Windows环境下的Rootkit技术的发展历史及现状,以及目前主要的检测技术。     

Windows环境下Rootkit隐藏技术研究

Rootkit是攻击者用来隐藏踪迹和保留访问权限、窃取密码、留下后门等的一组工具的集合,是一种危害性极大的特洛伊木马程序。深入研究Rootkit隐藏技术,有助于提高发现、检测和跟踪它的能力。本文针对Windows环境下的Rootkit隐藏技术进行了深入的分析和研究,并对相应的技术原理做了比较,展望了Rootkit隐藏技术的未来发展趋势。     

基于可执行路径分析的隐藏进程检测方法

研究了内核模式下进程隐藏的原理和进程隐藏检测技术。在此基础上,提出了一种Windows操作系统内核模式下基于可执行路径分析（EPA）的隐藏进程检测技术。通过检查某些关键系统函数执行时所用的指令个数,来判断这些函数是否执行了多余的代码,从而断定系统被Windows Rootkit修改过了。利用该方法,可以检测出当前常规安全检测工具不能发现的系统恶意程序的进程隐藏。     

Windows平台下Rootkit进程检测

Rootkit是能够持久或可靠地存在于计算机系统上的一组程序或代码.为了达到无法检测的目的,Rootkit必须使用进程隐藏技术.Rootkit进程隐藏技术是一种以秘密方式在系统后台运行并窃取用户信息的技术.通过分析Windows平台下Rootkit进程隐藏技术的原理,研究了应用层和内核层两种模式下的Rootkit进程隐藏技术.针对Rootkit进程隐藏技术的特点,开发了一个基于句柄表三位一体交叉映射的Rootkit隐藏进程检测平台.系统测试表明,本平台能够检测出当前绝大部分主流Rootkit技术实现的隐藏进程,在实际应用中达到了较好的效果.     

Windows Rootkit隐藏技术研究

Rootkit是恶意软件用于隐藏自身及其他特定资源和活动的程序集合。该文分析和研究现有的针对Windows系统的代表性Rookit隐藏技术,将其总结为2类：通过修改系统内核对象数据实现隐藏和通过修改程序执行路径实现隐藏。说明并比较了相应的技术原理,展望了Rootkit隐藏技术未来的发展趋势。     

Windows注册表隐藏检测完全解决方案

在分析Windows注册表系统及注册表隐藏技术的基础上,提出一个完全解决方案用于检测被Rootkit等木马隐藏的注册表项。设计底层数据复制算法来复制注册表文件,以解决无法直接读取注册表信息的问题,通过多层次匹配算法检测得到注册表的隐藏位置。实验结果证明,该方案可以突破Windows系统的限制,检测到从内核层到应用层所有被隐藏和修改的注册表信息及其隐藏位置,且不受Rootkit木马干扰。     

Rootkit隐藏技术与检测方法研究

近些年来,恶意代码攻击的目的由破坏炫耀向经济利益转变,因而更加注重自身的隐藏.Rootkit具有隐蔽性强、特权级高等特点,成为主机安全的严重威胁.硬件虚拟化技术出现后,Rootkit扩展到了操作系统外部,对检测技术提出了新的挑战.本文总结了近几年网络安全领域中Rootkit隐藏技术和检测技术的研究进展,分析了各自面临的问题,并基于对Rootkit隐藏技术和检测技术的分析,探讨Rootkit检测技术的发展趋势.     

Windows下系统服务Rootkits的检测与恢复

Rootkits是入侵者隐藏踪迹和保留访问权限的工具集.修改操作系统内核的Rootkit称之为内核Rootldt,使操作系统本身变得不可信任,造成极大的安全隐患.针对系统服务的Rootkits是内核中最常见的Rootkits.分析了当前Windows下系统服务各种Rootkits,提出了一种利用驱动程序,无需符号文件的检测和修复方法,能准确检测出Windows下各种系统服务Rootkits并且进行恢复.     

基于调用门的进程隐藏技术

Rootkit是黑客入侵系统后保留后门常用的一项技术,而Rootkit的过人之处就在于它的隐形技术。论文主要介绍了目前Windows下常见的进程隐藏方法,并分析了现有方法的局限性,提出一种新的方法,该方法通过调用门的方式来修改进程链表和进程的访问令牌,从而达到进程隐藏和提升进程权限的目的,该攻击方法隐蔽性更强,能有效对抗常规的安全检测技术。最后用实验证明了此方法的有效性。     

基于协同特征的BIOS Rootkit检测技术

对木马模型框架的理论及其协同隐藏模型进行研究和分析,给出BIOS Rootkit协同隐藏模型的具体形式化描述,提出一种在Windows环境下基于协同特征的BIOS Rootkit检测技术。针对现有BIOS Rootkit检测技术存在能查但不能正常恢复的问题,采用搜索特征码并动态恢复的技术解决。实验结果表明,该检测技术具有良好的可靠性、检测效率和完整性。     

Windows Rootkit进程隐藏与检测技术

进程隐藏是Rootkit技术的一种典型应用,隐藏运行的恶意代码威胁到计算机的安全。为此,通过分析Windows系统中利用Rootkit技术对进程进行隐藏的原理,针对用户模式和内核模式2种模式下进程隐藏技术的特点,提出几种不依赖于系统服务的隐藏进程检测技术。此类检测方法直接利用系统底层的数据结构,检测能力强。     

基于结构体随机化的内核Rootkit防御技术

内核Rootkit对于操作系统来说是个严重的威胁.入侵者通过植入内核Rootkit,修改一些关键的内核结构体,实现恶意进程隐藏、日志文件删除、私密信息窃取等恶意行为.由于Rootkit主要通过篡改内核结构体对象来实现控制流截取,因此我们试图通过结构体随机化来防御这些入侵.在文中,作者提出了一种基于编译器的自动结构体随机化技术,解决了包括结构体的可随机化识别,随机化语义不变保护以及自动随机化等多个技术难题,最终利用随机环境下攻击者无法预知结构体域排列的特点,实现对内核Rootkit的防御.在实验环节,我们在被随机化的Linux系统中测试了已知的5种不同原理的8个真实的Rootkit,结果展示了我们的方法以几乎零负荷的代价防御了全部的Rootkit加载.     

基于符号执行的内核级Rootkit静态检测

Rootkit是攻击者用来隐藏踪迹和保留访问权限的工具集.加载入系统内核的内核级Rootkit使得操作系统本身变得不可信任,造成极大安全隐患.构建了一个完整的通过静态分析检测内核级Rootkit的模型,构造了描述Rootkit行为的普遍适用的定义并证明了其充分必要性,采用符号执行法进行静态分析,利用污点传播机制,针对模型特点对分析过程进行优化.基于这个模型的内核级Rootkit检测具有高准确性和较好的前瞻性.     

Windows(2000/XP)下隐藏进程的检测机制

随着计算机技术的不断发展,近期出现了利用Windows(2000/XP)内核设计上的漏洞隐藏自身进程的入侵技术。针对这种隐藏技术提出了利用内核进程环境控制块(KPEB)、内核线程环境控制块(KTEB)以及Windows操作系统的调度机制来检测这些隐藏进程的新方法,并给出了代码示例。     

一种基于交叉视图的Windows Rootkit检测方法

Rootkit被病毒、木马等恶意软件用来隐藏其在被入侵系统上的踪迹,使得它们能够在系统中潜伏较长时间,它的存在给系统及其使用者带来较大的安全隐患.首先对Windows rootkit进行了研究,以此为基础,从rootkit的行为入手,提出了基于进程检测进行rootkit检测的机制,并设计了一种基于交又视图的Windows rootkit检测方法.这种方法通过比较从系统高层和底层获得的进程列袁,从中检测出被rootkit隐藏的进程,其中,系统底层的进程列表通过在Windows内核中查找内核对象的方法获得.最后,利用这种方法实现了一个Windows rootkit检测工具Ⅵ一TAL,并选用若干有代表性的rootkit进行实验,通过和其他工具的对比,验证了这种方法具有较强的检测功能.