神出鬼没的“大白鲨远控”

很多年前一部名为《大白鲨》的电影，让人们记住了那条凶残的大白鲨。而最近又有一条大白鲨。在互连网里面若隐若现。虽然它不会给用户造成生命危险，但是对电脑系统的影响却是致命的。本着“知己知彼百战不殆”的精神，今天我们就来好好了解一下“大白鲨远控”这款全新的木马。     

玩转花生壳远控软件

说道“花生壳”，我们常常会想到它的域名系统，因为我们玩木马常常通过它进行中转。可是最近“花生壳”进行了很多的更新，比如推出了自己的远程控制软件在内的一系列网络应用软件。     

Windows Rootkit技术概述

Rootkit是攻击者用来隐藏踪迹和保留访问权限的工具集,加载入系统内核的内核级rootkit使得操作系统本身变得不可信任,造成极大的安全隐患。而结合rootkit技术的木马则变的更加隐蔽。本文将详细讨论Windows环境下的Rootkit技术的发展历史及现状,以及目前主要的检测技术。     

软硬结合 强效远控

软件名称：GoToMyCloud 软件属性：远程控制 运行平台：windows2000／2003／XP／Vista／7／8     

利用序列分析的远控木马早期检测方法研究

远控木马(RAT)是一类以窃取机密信息为主要目的的恶意程序,严重威胁着网络空间安全.现阶段基于网络的远控木马检测方法大多对数据流的完整性有较高的要求,其检测存在一定程度的滞后.在分析远控木马通信会话建立后初期流量的序列特性的基础上,提出了一种利用序列分析的远控木马早期检测方法.该方法以远控木马被控端和控制端交互中第一条TCP流为分析对象,重点关注流中由内部主机向外部网络发送且数据包传输层负载大于α字节的第一个数据包(上线包)及其后续数个数据包,从中提取包含传输负载大小序列、传输字节数和时间间隔在内的三维特征并运用机器学习算法构建了高效的早期检测模型.实验结果表明,该方法具备快速检测远控木马的能力,其通过远控木马会话建立后初期的少量数据包即可高准确率地检测出远控木马流量.     

Windows环境下Rootkit隐藏技术研究

Rootkit是攻击者用来隐藏踪迹和保留访问权限、窃取密码、留下后门等的一组工具的集合,是一种危害性极大的特洛伊木马程序。深入研究Rootkit隐藏技术,有助于提高发现、检测和跟踪它的能力。本文针对Windows环境下的Rootkit隐藏技术进行了深入的分析和研究,并对相应的技术原理做了比较,展望了Rootkit隐藏技术的未来发展趋势。     

Rootkit的检测与取证分析

Rootkit是目前难以检测、清除、防范和破坏性强的恶意程序。通过分析Rootkit的内核机制,给出检测Rootkit的基本方法,以应用于Rootkit防范和取证分析。     

远控“简易又安全”

软件名称：pcAnywhere 软件属性：远程控制 运行平台：Windows 2000／2003／XP／Vista／7     

基于符号执行的内核级Rootkit静态检测

Rootkit是攻击者用来隐藏踪迹和保留访问权限的工具集.加载入系统内核的内核级Rootkit使得操作系统本身变得不可信任,造成极大安全隐患.构建了一个完整的通过静态分析检测内核级Rootkit的模型,构造了描述Rootkit行为的普遍适用的定义并证明了其充分必要性,采用符号执行法进行静态分析,利用污点传播机制,针对模型特点对分析过程进行优化.基于这个模型的内核级Rootkit检测具有高准确性和较好的前瞻性.     

一种新的内核级Rootkit的检测方法*

对Rootkit 的基本概念进行了介绍,然后延伸至内核级Rootkit。在详细剖析内核级Rootkit 原理的基础上分析了其他检测Rootkit方法的局限性,提出一种新的方法。该方法分析内核模块加载时是否有可疑行为,结合对比system.map和kmem文件判断其是否为Rootkit。最后用实验证明了此方法的有效性。     

基于文件系统异常的内核级Rootkit检测

分析现有的两类Rootkit检测方法。根据内核级Rootkit在系统中的隐藏机制,提出了一种基于文件系统异常的有效检测方法。实验表明,该方法能够简便快捷地检测出内核级Rootkit的存在,帮助系统管理员进一步维护系统安全。     

完全免杀的内网木马——TeamViewer

如今的木马太多,不过好用的总得经过一系列的免杀,并且还受网络环境的限制。网上许多所谓VIP和内部版的木马,确实功能很强大,不过都是要用钱来买的。怎么办呢？自己动手,丰衣足食,看看我们来打造自己专属免杀的超强木马吧！     

一种基于VMM的内核级Rootkit检测技术

针对云平台中的虚拟机内核级Rootkit破坏租户虚拟机完整性的问题,文章提出一种基于VMM(虚拟机监视器,Virtual Machine Monitor)的内核级Rootkit检测技术。该技术以在关键路径设置陷入点的方式构建TML(True Module List),得到虚拟机中真实的内核模块视图,在VMM层利用自下而上的调用方式获取虚拟机用户态视图,并在VMM层获取重构的虚拟机内核态视图,通过交叉对比这三个视图检测隐藏在虚拟机中的Rootkit。最后,利用该技术在KVM(基于内核的虚拟机,Kernel-based Virtual Machine)中实现了原型系统,实验结果表明系统能迅速准确地检测出虚拟机中的Rootkit,并依据TML报告内核级Rootkit的详细信息,系统的综合性能损耗在可接受范围内。     

基于虚拟机的 Rootkit 检测系统

内核级 Rootkit 位于操作系统核心层,可以篡改内核地址空间的任意数据,对系统安全构成了巨大的威胁.目前基于虚拟机的 Rootkit 方面应用大都偏重于完整性保护,未对 Rootkit 的攻击手段和方式进行检测识别.文中在虚拟机框架下,提出了一种新型的 Rootkit 检测系统 VDR,VDR 通过行为分析可有效识别 Rootkit 的攻击位置方式,并自我更新免疫该Rootkit 的再次攻击.实验表明,VDR 对已知 Rootkit 的检测和未知 Rootkit 的识别均有良好效果,能迅速给出攻击信息,为系统安全管理带来很大方便.     

基于虚拟机的Rootkit检测系统

内核级Rootkit位于操作系统核心层,可以篡改内核地址空间的任意数据,对系统安全构成了巨大的威胁。目前基于虚拟机的Rootkit方面应用大都偏重于完整性保护,未对Rootkit的攻击手段和方式进行检测识别。文中在虚拟机框架下,提出了一种新型的Rootkit检测系统VDR,VDR通过行为分析可有效识别Rootkit的攻击位置方式,并自我更新免疫该Rootkit的再次攻击。实验表明,VDR对已知Rootkit的检测和未知Rootkit的识别均有良好效果,能迅速给出攻击信息,为系统安全管理带来很大方便。     

基于虚拟机架构的内核Rootkit防范方案

内核Rootkit是运行在操作系统内核空间的恶意程序,对系统安全构成巨大威胁。研究表明,内核Rootkit的共同特征是修改内核的程序控制流程。分析了Linux内核中影响程序控制流程的资源,并通过对这些资源进行保护,来防止Rootkit对内核控制流程的篡改。实验表明,该方法能够有效防止多种Rootkit对Linux内核的攻击。     

BIOS Rootkit的实现技术

现在BIOS芯片被恶意刷写进BIOS Rootkit的可能性越来越大。本文对BIOS Rootkit的基本概念、组成模块和危害特性进行阐述,同时详细介绍BIOS Rootkit的实现技术,并建议尽快建立相应的安全标准,以避免或减少BIOS Rootkit的攻击。     

试论电力调度远动系统的设计与实现

随着我国经济的快速发展,社会对电力的需求在不断增长。因此,做好电力的合理调度工作就显得尤为重要。电力调动远动系统是电力调度中采用的主要方式,它也被称为电力调度自动化系统,主要是利用计算机技术、检测技术、控制技术、通信和网络技术等对电力运行进行监控,实现电力自动化调度和管理。本文对电力调度远动统进行了初步探讨,对其功能和基本结构进行了分析,希望可以为设计开发人员提供一些有益的经验。