Windows Rootkit进程隐藏与检测技术

进程隐藏是Rootkit技术的一种典型应用,隐藏运行的恶意代码威胁到计算机的安全。为此,通过分析Windows系统中利用Rootkit技术对进程进行隐藏的原理,针对用户模式和内核模式2种模式下进程隐藏技术的特点,提出几种不依赖于系统服务的隐藏进程检测技术。此类检测方法直接利用系统底层的数据结构,检测能力强。     

基于Xen虚拟化的隐藏进程检测方法

恶意进程利用Rootkit使自己具有极强的隐蔽性.传统的隐藏进程检测工具部署在被检测系统中,容易受到攻击.为提高检测系统的抗攻击性和准确性,提出了一种虚拟环境下特征匹配的隐藏进程检测系统.该系统部署在被监控虚拟机外部,自调整检测频率扫描计算机内存来获取进程相关信息,并通过与预先构建好的特征模板进行相似度匹配,达到检测隐藏进程的目的.实验结果表明,该检测系统可以有效地检测出典型的Rootkit代码,确定隐藏进程的存在.     

Linux系统下Rootkit检测方法探讨

Rootkit是一种能够很好的隐藏自己、难以被检测出来的恶意软件.介绍了Linux下Rootkit的工作机制,分别给出了检测用户模式Rootkit和内核模式Rootkit的实用方法.     

Windows下基于交叉视图的Rootkit进程隐藏检测技术

对现有的Windows Rootkit进程隐藏技术进行了研究,提出了基于交叉视图的Rootkit进程隐藏检测技术.该技术通过比较从操作系统的高层和底层获取到的进程列表来检测被Rootkit所隐藏的进程,其中,底层进程列表是通过搜索内存中的内核对象来获得的.实验表明,该技术具有较好的检测效果.     

基于调用门的进程隐藏技术

Rootkit是黑客入侵系统后保留后门常用的一项技术,而Rootkit的过人之处就在于它的隐形技术。论文主要介绍了目前Windows下常见的进程隐藏方法,并分析了现有方法的局限性,提出一种新的方法,该方法通过调用门的方式来修改进程链表和进程的访问令牌,从而达到进程隐藏和提升进程权限的目的,该攻击方法隐蔽性更强,能有效对抗常规的安全检测技术。最后用实验证明了此方法的有效性。     

Windows系统Rootkit隐藏技术研究与实践

Rootkit是一组后门工具的集合,是特洛伊木马发展的高级阶段,其在特洛伊木马众多类别中危害性最大.深入研究Rootkit技术,做到网络攻防知己知彼,对防范木马攻击,减少网络破坏,保护重要信息系统有重要意义.通过研究Windows环境中Rootkit的隐藏技术,结合协同隐藏思想,提出了Rootkit的形式化模型,并在此基础上开发了一个Windows系统下的Rootkit原型.实验结果表明,该原型达到了较好的隐藏效果,可以避开目前大多数检测工具的检测.     

Windows环境下Rootkit隐藏技术研究

Rootkit是攻击者用来隐藏踪迹和保留访问权限、窃取密码、留下后门等的一组工具的集合,是一种危害性极大的特洛伊木马程序。深入研究Rootkit隐藏技术,有助于提高发现、检测和跟踪它的能力。本文针对Windows环境下的Rootkit隐藏技术进行了深入的分析和研究,并对相应的技术原理做了比较,展望了Rootkit隐藏技术的未来发展趋势。     

基于可执行路径分析的隐藏进程检测方法

研究了内核模式下进程隐藏的原理和进程隐藏检测技术。在此基础上,提出了一种Windows操作系统内核模式下基于可执行路径分析（EPA）的隐藏进程检测技术。通过检查某些关键系统函数执行时所用的指令个数,来判断这些函数是否执行了多余的代码,从而断定系统被Windows Rootkit修改过了。利用该方法,可以检测出当前常规安全检测工具不能发现的系统恶意程序的进程隐藏。     

Windows Rootkit分析与检测综合方法

分析了已知的Rootkit检测方法,并根据上述检测方法提出了一种基于采用比较核心模块查证内存代码段的完整性和检测隐藏驱动的方法.该方法能够检测大部分应用层Rootkit和内核Rootkit.     

恶意Rootkit工具清理要诀

作为一种软件,Rootkit可以在连接并进入计算机的同时,向用户和管理员隐藏它存在的迹象。尽管Rootkit本身可能是无害的,但隐藏的软件或进程却几乎都是存在问题的。和病毒不同,Rootkit可以获得计算机的管理权限。Rootkit就是病毒中的万人迷,