共查询到18条相似文献,搜索用时 65 毫秒
1.
对现有的Windows下各种隐藏进程检测技术及其反检测技术进行了研究,提出了基于内存搜索的隐藏进程检测技术,并针对该技术的性能提出了改进。该种检测技术利用进程的固有特征对系统地址空间的遍历建立完整的进程列表来检测隐藏进程。通过实验表明,该技术具有较好的可靠性、检测效率和完整性。 相似文献
2.
对现有的Windows Rootkit进程隐藏技术进行了研究,提出了基于交叉视图的Rootkit进程隐藏检测技术.该技术通过比较从操作系统的高层和底层获取到的进程列表来检测被Rootkit所隐藏的进程,其中,底层进程列表是通过搜索内存中的内核对象来获得的.实验表明,该技术具有较好的检测效果. 相似文献
3.
4.
基于HSC的进程隐藏检测技术 总被引:3,自引:3,他引:3
介绍了目前Windows下常见的进程隐藏检测技术,提出了基于截获系统调用(HSC)的进程隐藏检测技术,利用隐藏进程的行为特征,通过截获系统调用建立完整的进程列表来检测隐藏进程,并针对该技术对抗RootKit的攻击提出了改进。该种隐藏进程的检测方法十分可靠,可以检测出常规安全检测工具不能发现的系统恶意程序。 相似文献
5.
6.
从原理上介绍了进程隐藏的几种方法,如通过API拦截和修改系统活动进程列表等方法,并对各种技术进行了优缺点分析。 相似文献
7.
隐藏进程的目的是保护木马不被查杀,该论文系统地整理了各种已有的进程隐藏技术,并分析其原理,对各种隐藏技术进行了分类,最后给出了可疑进程隐藏检测技术. 相似文献
8.
随着互联网的快速发展,信息技术已成为促进经济发展、社会进步的巨大推动力。Windows操作系统的普及和不断提升,使得基于Windows的各种进程隐藏技术迅速传播,同时对应的进程检测技术也需要进一步扩充。文章针对Windows操作系统的新版本64位Windows7系统,设计了一种基于截获SwapContext函数的隐藏进程检测方案并软件实现。实验结果表明,该方法可以全面检测64位Windows7的隐藏进程,检测结果准确、可靠,可进行实际应用。 相似文献
9.
自隐藏恶意代码已成为PC平台下急需解决的安全问题,进程隐藏则是这类恶意代码最常用和最基本的规避检测的自隐藏技术。针对这个问题,提出了一种新的基于本地虚拟化技术的隐藏进程检测技术——Gemini。基于该本地虚拟化技术,Gemini在本地化启动的虚拟机中(Local-Booted Virtual Machine)完整重现了宿主操作系统的运行环境,结合隐式的真实进程列表(TVPL)获取技术,Gemini实现了在虚拟机监视器(VMM)内检测宿主操作系统内隐藏进程的能力。测试结果证明了宿主计算环境重现的有效性与隐藏进程检测的完整性。 相似文献
10.
基于硬件虚拟化技术的隐藏进程检测技术* 总被引:1,自引:0,他引:1
随着越来越多的PC用户习惯于从互联网上下载和执行各类软件,潜在的自隐藏恶意代码已成为亟待解决的安全问题,而进程隐藏是这类恶意代码最常用也是最基本的规避检测的自隐藏技术。针对这个问题,提出了一种新的基于硬件虚拟化技术的隐藏进程检测技术——Libra。Libra通过构造一个轻量级的虚拟机监视器(libra virtual machine monitor,LibraVMM)实现了从虚拟层隐式获取真实进程列表(true process list, TPL)的新技术。与已有的基于虚拟机技术的解决方案相比,Libra 相似文献
11.
12.
基于内存扫描的隐藏进程检测技术 总被引:1,自引:1,他引:1
针对恶意代码普遍使用Rootkit技术来隐藏自身进程这一特点,提出了基于内存扫描的隐藏进程检测方法。该方法通过对系统高端虚拟内存的扫描,判断其中存在的Windows内核对象的类型,得到可信的系统进程信息,从而实现对隐藏进程的检测。同时,该检测方法可以实现对其他类型的Windows内核对象的扫描,具有一定的扩展性。 相似文献
13.
14.
竞争促使企业加强与客户的联系。主动与客户交流可以增加客户的满意度和忠诚度。呼叫中心外拨业务所占比重将会越来越大。如何提高外拨效率、充分利用外拨的数据成果是一个重要的课题。丈章分析了外拨技术发展过程和业务特点,阐述了预测外拨的原理和关键指标,指出预测外拨是呼叫中心外拨技术的发展方向;给出了预测外拨系统的设计方案;预测外拨系统具有全面的外拨业务管理功能,是实现企业与客户联系的理想工具。 相似文献
15.
Nabil Channouf Pierre L'Ecuyer 《International Transactions in Operational Research》2012,19(6):771-787
We propose and examine a probabilistic model for the multivariate distribution of the number of calls in each period of the day (e.g., 15 or 30 min) in a call center, where the marginal distribution of the number of calls in any given period is arbitrary, and the dependence between the periods is modeled via a normal copula. Conditional on the number of calls in a period, their arrival times are independent and uniformly distributed over the period. This type of model has the advantage of being simple and reasonably flexible, and can match the correlations between the arrival counts in different periods much better than previously proposed models. For the situation where the number of periods is large, so the number of correlations to estimate can be excessive, we propose simple parametric forms for the correlations, defined as functions of the time lag between the periods. We test our proposed models on three data sets taken from real‐life call centers and compare their goodness of fit to the best previously proposed methods that we know. In the three cases, the new models provide a much better match of the correlations and coefficients of variation of the arrival counts in individual periods. 相似文献
16.
呼叫中心的运营评估对呼叫中心的优化运作起着重要的作用,它不但是坐席人员排班的基础,而且能够对呼叫中心的战略化发展起支持作用。呼叫中心的大型化以及接待中心的出现,使得坐席人员的技能水平向多技能的方向发展,由于多技能的引入使得呼叫中心运营的复杂程度大大增加,原来支撑呼叫中心运营评价的理论无法继续在多技能的呼叫中心中应用。研究了使用仿真的方法对多技能的呼叫中心运营效能进行评估。给出了多技能呼叫中心的仿真模型,并使用某大型电信企业的多技能呼叫中心实际数据,对提出的模型进行了验证。 相似文献
17.
基于进程轨迹最小熵长度的系统调用异常检测 总被引:1,自引:0,他引:1
进程的系统调用轨迹蕴藏着程序行为不变性和用户行为不变性这两种不变性,其中,程序行为不变性可进一步细分为时间顺序不变性和频度不变性。已有的系统调用异常检测技术研究工作均集中于程序行为不变性,忽视了用户行为不变性。从系统调用中的频度不变性出发,研究了系统调用轨迹中的用户行为不变性及其描述手段,并提出采用最小熵长度描述这种不变性。在 Sendmail 数据集上的实验表明,最小熵长度较好地描述了系统调用轨迹中的用户行为不变性,结合程序行为不变性,可以极大地提高系统调用异常检测性能。 相似文献
18.
系统调用是用户程序和操作系统进行交互的接口。劫持系统调用是内核级Rootldt入侵系统后保留后门常用的一项的技术。研究Linux系统调用机制及系统调用劫持在内核级Rootkit中的应用可以更好地检测和防范内核级Rootkit,使Linux系统更加安全。文中在分析Linux系统调用机制的基础上,研究了内核级Rootldt劫持系统Linux系统调用的5种不同方法的原理及实现,最后针对该类内核级Rootkit给出了3种有效的检测方法。在检测过程中综合利用文中提出的几种检测方法,能提高Linux系统的安全性。 相似文献