共查询到17条相似文献,搜索用时 136 毫秒
1.
2.
3.
Rootkit是恶意软件用于隐藏自身及其它特定资源和活动的程序集合。本文针对windows Rootkit的启动方式,将Rootkit归为先于操作系统启动和伴随操作系统启动两类,详细分析了这两类windows Rootkit的启动方式、实现原理及隐藏技术,并对现有的检测方法的原理进行了深入的分析。 相似文献
4.
通过修改操作系统内核的方式实现了哈佛内存体系结构的虚拟化,在操作系统层分离了对Rootkit代码的取指和数据操作,从而可以绕开内存扫描程序,实现攻击代码的隐藏.文中详细讨论了虚拟化哈佛体系结构的具体实现,并分析了它的有效性和对操作系统各个方面的影响.实验表明:该方法能很好地隐藏攻击代码,对操作系统的正常工作影响十分轻微. 相似文献
5.
Rootkit是现今一种越来越流行的系统底层隐蔽机制及其相应的实现程序,能够让攻击者长期保持对系统的最高控制权限,其中,实现进程的隐藏是Rootkit的最常见功能之一。论文针对Win32 Rootkit的进程隐藏检测的若干技术方法进行了深入研究和实现,分析比较了各自的优缺点,并最终提出了这项技术在未来的展望。 相似文献
6.
内核级Rootkit作为一种高效的攻击手段,在Windows以及Linux平台上被广泛采用。以Linux 2.6内核为基础的Android系列操作系统将面临内核级Rootkit攻击的风险。根据对Android电话系统的体系结构进行分析,以内核可加载模块(LKM)技术为基础,通过替换Android内核中虚拟文件系统(VFS)的相关系统调用,提出了一种Android平台上内核级Rootkit攻击方式。 相似文献
7.
内核级木马隐藏技术研究与实践 总被引:9,自引:0,他引:9
文章通过对现有Linux下的内核级木马的隐藏和检测技术的分析研究,讨论了有关的隐藏和检测技术,并在此基础上实现了一个内核级木马。通过实验测试,该木马达到了较好的隐藏效果,可以避过目前大多数检测工具的检测。 相似文献
8.
当今流行的木马程序开始采用隐蔽通信技术绕过蜜罐系统的检测。首先介绍木马常用的隐蔽通信技术以及越来越流行的内核层Rootkit隐蔽通信技术,并讨论了现阶段客户端蜜罐对于恶意程序的检测方式。针对蜜罐网络通信检测机制的不足,提出了一种有效的改进方案,使用基于NDIS中间层驱动的网络数据检测技术来获取木马通信数据包。该方案能够有效检测基于网络驱动的Rootkit隐蔽通信,提取木马关键通信信息,以进行对木马行为的跟踪和分析。 相似文献
9.
10.
《信息安全与通信保密》2005,(6):130-130
一个完整、健全的信息安全防护体系必须包括操作系统的安全。航天中嘉华诚网络安全技术有限公司在Windows系统网络安全技术领域引入内核加固的崭新理念,研究开发出具有自主知识产权的GKR操作系统内核加固技术,大幅度地提高了操作系统安全的认证等级,对提高计算机操作系统安全,引导网络安全技术应用观念的转变都具有重要意义。公司在对市场进行大量调研的基础上,按照不同用户的需求,开发出GKR操作系统内核加固产品,主要由文件保护、注册表保护、进程保护、服务保护、网络保护、用户特权等模块组成,从内核层实现对文件、注册表等系统资源全… 相似文献
11.
针对rootkit采用隐藏注册表达到隐藏自身的目的,从rootkit的自启动行为入手,提出了依据注册表隐藏信息检测rootkit的机制,并设计了一种基于交叉视图的Windows rootkit检测方法。这种方法通过比较从内核态和用户态枚举的注册表信息,从中检测出被rootkit隐藏的注册表项目,继而检测出rootkit。最后,通过一个代表性的实例验证了这种方法具有较好的检测效果。 相似文献
12.
本文对Linux下内存映射型内核级木马的隐藏和检测技术进行了深入的研究,并针对著名的内核级木马SuKit进行了剖析,指出了该木马功能上的不足和实现上的缺陷,进而提出了改进建议和实现方案,在此基础上开发了一个内存映射型内核级木马原型LongShadow。 相似文献
13.
木马的植入与隐藏技术分析 总被引:8,自引:1,他引:7
论文首先介绍了木马的定义,概括了木马的特征——隐蔽性、欺骗性、自启动性和自动恢复性,并简单介绍了木马的结构和功能。随后,从缓冲区溢出、网站挂马、电子邮件、QQ传播等方面介绍了木马的植入技术,重点从通信隐藏、进程隐藏、文件隐藏三个方面介绍了木马的隐藏技术,最后展望了木马技术的发展趋势。 相似文献
14.
基于API HOOK技术的特洛伊木马攻防研究 总被引:1,自引:0,他引:1
文章首先对Windows下的API HOOK技术进行分析研究,并将该技术运用于特洛伊木马的属性隐藏中。然后在此基础上实现了一个基于API HOOK技术的内核级木马。通过实验测试,该木马达到了较好的隐藏效果,可以避开目前大多数检测工具的检测。最后,讨论了基于API HOOK技术的特洛伊木马的检测技术。 相似文献
15.
木马隐藏技术的研究与分析 总被引:1,自引:0,他引:1
以WINDOWS系统环境为基础,分析了常见的木马隐藏技术及其特点,并给出了部分技术的实现原理。首先分析了单一木马程序的常见隐藏技术,然后根据Harold Thimbleby提出的木马模型和木马协同隐藏思想,提出了一种基于动态星型结构的木马协同隐藏模型,该模型展现了基于多木马结构的协同隐藏思想,通过采用代理方式通信,提高了各木马程序的隐蔽性和生存周期,增加了追查木马程序控制端地址的难度。 相似文献
16.
Ghost还原系统已经被广泛应用于计算机的系统还原,该技术在使用方便的同时,也存在着安全隐患。文中首先介绍了Ghost映像文件的格式,并阐述其解析的过程和原理。然后在此基础上引出针对Ghost还原系统映像的木马隐蔽驻留技术,并剖析了所实现的Ghost映像文件穿越的命令行工具。该工具读取解析Ghost映像文件,然后往其中写入后门文件来实现木马的隐蔽驻留。最后提出了如何预防和检测利用该方法隐蔽驻留的木马,确保系统还原后的完整和安全。 相似文献
17.
Ramoni O. Adeogun 《Wireless Personal Communications》2018,98(1):119-137
In this paper obfuscation techniques used by novel malwares presented and compared. IAT smashing, string encryption and dynamic programing are explained in static methods and hooking at user and kernel level of OS with DLL injection, modifying of SSDT and IDT table addresses, filter IRPs, and possessor emulation are techniques in dynamic methods. This paper suggest Approach for passing through malware obfuscation techniques. In order that it can analyze malware behaviors. Our methods in proposed approach are detection presence time of a malware at user and kernel level of OS, dumping of malware executable memory at correct time and precise hook installing. Main purpose of this paper is establishment of an efficient platform to analyze behavior and detect novel malwares that by use of metamorphic engine, packer and protector tools take action for obfuscation and metamorphosis of themself. At final, this paper use a dataset embeds different kind of obfuscated and metamorphic malwares in order to prove usefulness of its methods experiments. Show that proposed methods can confront most malware obfuscation techniques. It evaluated success rate to unpacking, obfuscated malwares and it shows 85% success rate to recognize kernel level malwares. 相似文献