共查询到20条相似文献,搜索用时 750 毫秒
1.
从功能上来看,Rootkit是指隐藏进程、网络端口、文件痕迹等的恶意软件,现已被广泛应用在黑客入侵和攻击他人的计算机系统上。许多计算机病毒、间谍软件也都常常使用Rootkit潜伏在操作系统上伺机而动。如何有效地对Rootkit进行检测和防范成为应对木马入侵和僵尸网络的首要解决的关键问题。文章在以往的研究基础上,通过深入探讨Windows底层原理,开发了一个基于WindowsAPI调用机制的Rootkit检测系统。在该系统的帮助下,用户不但可以深入查看操作系统的各类底层信息,还可以很方便地找出隐藏在计算机之中的病毒、木马并进行清理,从而更好地保护操作系统。该系统丰富了现今针对Rootkit检测的研究成果,对后续的研究具有一定的参考价值。 相似文献
2.
郭宏 《网络安全技术与应用》2009,(5):40-42
Rootkit是攻击者在入侵操作系统后用来保持对系统的超级用户访问权限,创建后门和隐藏攻击痕迹等常采用的一种技术,Rootkit存在于Linux、Solaris和Windows等各种操作系统上。本文所研究的技术主要用于检测Linux系统下的后门程序Rootkit。采取了以事后行为的检测为主,实时的检测为辅的思路。以检测引擎逐项检测,而所需的Rootkit特征库定时更新。另外为了防备用户在使用中触发某些恶意程序,检测程序也提供了实时监控的功能。 相似文献
3.
4.
对现有的Windows Rootkit进程隐藏技术进行了研究,提出了基于交叉视图的Rootkit进程隐藏检测技术.该技术通过比较从操作系统的高层和底层获取到的进程列表来检测被Rootkit所隐藏的进程,其中,底层进程列表是通过搜索内存中的内核对象来获得的.实验表明,该技术具有较好的检测效果. 相似文献
5.
Rootkit是一组后门工具的集合,是特洛伊木马发展的高级阶段,其在特洛伊木马众多类别中危害性最大.深入研究Rootkit技术,做到网络攻防知己知彼,对防范木马攻击,减少网络破坏,保护重要信息系统有重要意义.通过研究Windows环境中Rootkit的隐藏技术,结合协同隐藏思想,提出了Rootkit的形式化模型,并在此基础上开发了一个Windows系统下的Rootkit原型.实验结果表明,该原型达到了较好的隐藏效果,可以避开目前大多数检测工具的检测. 相似文献
6.
Windows Rootkit技术概述 总被引:1,自引:0,他引:1
吴昆 《网络安全技术与应用》2008,(5):59-60
Rootkit是攻击者用来隐藏踪迹和保留访问权限的工具集,加载入系统内核的内核级rootkit使得操作系统本身变得不可信任,造成极大的安全隐患。而结合rootkit技术的木马则变的更加隐蔽。本文将详细讨论Windows环境下的Rootkit技术的发展历史及现状,以及目前主要的检测技术。 相似文献
7.
《数字社区&智能家居》2008,(Z2)
Rootkit是攻击者用来隐藏踪迹和保留访问权限、窃取密码、留下后门等的一组工具的集合,是一种危害性极大的特洛伊木马程序。深入研究Rootkit隐藏技术,有助于提高发现、检测和跟踪它的能力。本文针对Windows环境下的Rootkit隐藏技术进行了深入的分析和研究,并对相应的技术原理做了比较,展望了Rootkit隐藏技术的未来发展趋势。 相似文献
8.
基于可执行路径分析的隐藏进程检测方法 总被引:1,自引:0,他引:1
韩芳 《计算机与数字工程》2009,37(1):115-117
研究了内核模式下进程隐藏的原理和进程隐藏检测技术。在此基础上,提出了一种Windows操作系统内核模式下基于可执行路径分析(EPA)的隐藏进程检测技术。通过检查某些关键系统函数执行时所用的指令个数,来判断这些函数是否执行了多余的代码,从而断定系统被Windows Rootkit修改过了。利用该方法,可以检测出当前常规安全检测工具不能发现的系统恶意程序的进程隐藏。 相似文献
9.
Rootkit是能够持久或可靠地存在于计算机系统上的一组程序或代码.为了达到无法检测的目的,Rootkit必须使用进程隐藏技术.Rootkit进程隐藏技术是一种以秘密方式在系统后台运行并窃取用户信息的技术.通过分析Windows平台下Rootkit进程隐藏技术的原理,研究了应用层和内核层两种模式下的Rootkit进程隐藏技术.针对Rootkit进程隐藏技术的特点,开发了一个基于句柄表三位一体交叉映射的Rootkit隐藏进程检测平台.系统测试表明,本平台能够检测出当前绝大部分主流Rootkit技术实现的隐藏进程,在实际应用中达到了较好的效果. 相似文献
10.
11.
12.
近些年来,恶意代码攻击的目的由破坏炫耀向经济利益转变,因而更加注重自身的隐藏.Rootkit具有隐蔽性强、特权级高等特点,成为主机安全的严重威胁.硬件虚拟化技术出现后,Rootkit扩展到了操作系统外部,对检测技术提出了新的挑战.本文总结了近几年网络安全领域中Rootkit隐藏技术和检测技术的研究进展,分析了各自面临的问题,并基于对Rootkit隐藏技术和检测技术的分析,探讨Rootkit检测技术的发展趋势. 相似文献
13.
Windows下系统服务Rootkits的检测与恢复 总被引:2,自引:0,他引:2
Rootkits是入侵者隐藏踪迹和保留访问权限的工具集.修改操作系统内核的Rootkit称之为内核Rootldt,使操作系统本身变得不可信任,造成极大的安全隐患.针对系统服务的Rootkits是内核中最常见的Rootkits.分析了当前Windows下系统服务各种Rootkits,提出了一种利用驱动程序,无需符号文件的检测和修复方法,能准确检测出Windows下各种系统服务Rootkits并且进行恢复. 相似文献
14.
15.
16.
17.
内核Rootkit对于操作系统来说是个严重的威胁.入侵者通过植入内核Rootkit,修改一些关键的内核结构体,实现恶意进程隐藏、日志文件删除、私密信息窃取等恶意行为.由于Rootkit主要通过篡改内核结构体对象来实现控制流截取,因此我们试图通过结构体随机化来防御这些入侵.在文中,作者提出了一种基于编译器的自动结构体随机化技术,解决了包括结构体的可随机化识别,随机化语义不变保护以及自动随机化等多个技术难题,最终利用随机环境下攻击者无法预知结构体域排列的特点,实现对内核Rootkit的防御.在实验环节,我们在被随机化的Linux系统中测试了已知的5种不同原理的8个真实的Rootkit,结果展示了我们的方法以几乎零负荷的代价防御了全部的Rootkit加载. 相似文献
18.
基于符号执行的内核级Rootkit静态检测 总被引:7,自引:1,他引:7
Rootkit是攻击者用来隐藏踪迹和保留访问权限的工具集.加载入系统内核的内核级Rootkit使得操作系统本身变得不可信任,造成极大安全隐患.构建了一个完整的通过静态分析检测内核级Rootkit的模型,构造了描述Rootkit行为的普遍适用的定义并证明了其充分必要性,采用符号执行法进行静态分析,利用污点传播机制,针对模型特点对分析过程进行优化.基于这个模型的内核级Rootkit检测具有高准确性和较好的前瞻性. 相似文献
19.
Windows(2000/XP)下隐藏进程的检测机制 总被引:5,自引:0,他引:5
随着计算机技术的不断发展,近期出现了利用Windows(2000/XP)内核设计上的漏洞隐藏自身进程的入侵技术。针对这种隐藏技术提出了利用内核进程环境控制块(KPEB)、内核线程环境控制块(KTEB)以及Windows操作系统的调度机制来检测这些隐藏进程的新方法,并给出了代码示例。 相似文献
20.
一种基于交叉视图的Windows Rootkit检测方法 总被引:6,自引:0,他引:6
Rootkit被病毒、木马等恶意软件用来隐藏其在被入侵系统上的踪迹,使得它们能够在系统中潜伏较长时间,它的存在给系统及其使用者带来较大的安全隐患.首先对Windows rootkit进行了研究,以此为基础,从rootkit的行为入手,提出了基于进程检测进行rootkit检测的机制,并设计了一种基于交又视图的Windows rootkit检测方法.这种方法通过比较从系统高层和底层获得的进程列袁,从中检测出被rootkit隐藏的进程,其中,系统底层的进程列表通过在Windows内核中查找内核对象的方法获得.最后,利用这种方法实现了一个Windows rootkit检测工具Ⅵ一TAL,并选用若干有代表性的rootkit进行实验,通过和其他工具的对比,验证了这种方法具有较强的检测功能. 相似文献