Windows RootKit技术原理及防御策略

RootKit是特洛伊木马后门工具,通过修改操作系统软件,使攻击者获得持续的系统访问权并隐藏在计算机中。本文将详细讨论Windows下的RootKit技术原理和检测技术,同时为了保卫系统和网络安全,提出了一套完整的针对RootKit的安全防御策略。     

病毒名称：灰鸽子变种BJC（Backdoor．Win32．Gpigeon2007．bjc）

病毒类型：后门病毒 病毒危害级别： 病毒分析：该病毒运行时会首先将自身拷贝到系统目录下,并设置成隐藏、系统、只读属性。然后病毒会创建系统服务,实现随系统自启动。它还会新建IE进程并设置该进程为隐藏,然后将病毒自身插入该进程中。通过后台记录用户键盘操作,病毒会偷取用户信息和本地系统信息等,并将该信息发送给黑客。     

基于Windows NT过滤驱动键盘录入信息保护

随着电子商务的发展和网上银行系统的应用日益广泛,并且伴随RootKit技术的日益成熟,针对这些应用系统的信息窃取行为也日益增多,恶意软件的检测变得更加困难。本文在网上银行系统键盘保护模块设计方案的基础上,提出针对目前流行的RootKit检测方法的一种比较完善的键盘录入信息保护策略。该保护方案以一种安全可靠的键盘录入信息方式很好地保护用户输入信息,以达到更好的信息安全保护效果。     

系统密技E卡通

快速查看进程中的服务 想知道自己操作系统中某个进程是不是病毒,或这个进程有没有成为病毒宿主,查看一下挂靠在进程上的服务吧,说不定能找出“化身”为系统服务的后门。首先点击“开始→运行”,在运行输入框中输入“CMD”(不含引号)并回车,根据自己的系统类型在命令行窗口中输入以下命令: Windows　2000:tlist　-s Windows　XP:tasklist　/svc 命令执行后将列出系统中进程所包含的服务,如果发现系统进程(如svchost.exe)中挂接了“BlackDoor”等后门服务,不要犹豫,赶快杀毒吧。　　　　　　　　　　　　　　　(木头人) W M P 让 …     

网上确认进程身份

在运行大型程序前需要退出一些无关紧要的进程,以 提高系统性能。但一些陌生的进程总是让笔者犹豫不决。经 过一番搜索,笔者在网上发现了一个好去处,与大家分享。 登录网址:http://www．cn．filename．info/,依据进程名称 逐步找到对应链接,就可以查到它的详细资料,包括:包含 在何软件中、文件细节、文件校验码和版本资源信息。依据 这些信息就能轻松确认它的身份,决定是否结束。还可以用 以判别进程是否为木马或后门程序。     

基于HSC的进程隐藏检测技术

介绍了目前Windows下常见的进程隐藏检测技术,提出了基于截获系统调用（HSC)的进程隐藏检测技术,利用隐藏进程的行为特征,通过截获系统调用建立完整的进程列表来检测隐藏进程,并针对该技术对抗RootKit的攻击提出了改进。该种隐藏进程的检测方法十分可靠,可以检测出常规安全检测工具不能发现的系统恶意程序。     

我的瑞星我做主 用“木马行为防御行为编辑器”防范后门病毒

今天我们来学习一下后门病毒的防范方法。先来看后门病毒的病毒特征:通常后门病毒运行后会释放一个文件,并将其注册为系统服务,修改注册表,然后随一个进程启动而启动,例如IE。最终实现连接网络、远程控制、下载病毒,像灰鸽子这样的后门病毒就具有以上现象。针对这些行为我们应该如何建立"防御行为规则"呢?     

RotKit在Linux下的工作原理及其检测

该文介绍了RootKit的相关概念以及它给计算机系统与网络安全带来的威胁,并分析了RootKit的分类方式及其各类RootKit的工作原理和实现方法.最后针对不同类型的RootKit,给出了相应的检测、清除及防范手段.     

抓捕Root Kit病毒

这天，当笔者想使用IceSword对系统进行检测时，发现该工具无法运行了，原因是在其运行目录中找不到主程序“icesword．exe”。笔者重新下载了IceSword，但是依然找不到主程序，看来，是有恶意程序使用RootKit技术，从系统底层隐藏了IceSword主程序。那么什么是RootKit病毒，又该如何将其彻底清除呢？本文将从多个角度对此进行细致分析。     

RootKit在Linux下的工作原理及其检测

该文介绍了RootKit的相关概念以及它给计算机系统与网络安全带来的威胁,并分析了RootKit的分类方式及其各类RootKit的工作原理和实现方法。最后针对不同类型的RootKit,给出了相应的检测、清除及防范手段。     

“文件夹隐藏者”病毒的分析与处理

据反病毒专家介绍,文件夹隐藏者(Trojan)病毒系采用RootKit技术隐藏自身进程的木马。该木马采用Delphi工具编写,以使自己可以与系统一起运行,病毒主要感染Win NT以上的WINDOWS操作系统。该木马文件最大的隐蔽之处就是会遍历硬盘或U盘里面的文件夹,并且将原来的文件夹隐藏起来。     

Windows RootKit检测与取证技术研究

文章首先对近几年来Windows RootKit检测技术的发展和研究进行了描述,接着对当前常用的RootKit检测工具及其检测方法做了介绍,进而探讨了Windows RootKit的取证与分析方法,以期对当前计算机取证人员有效解决Windows RootKit检测和取证提供一些借鉴。     

一种基于行为的RootKit检测方法

介绍了RootKit技术的基本原理以及对于RootKit的常用检测方法,分析了RootKit的主要行为,提出了基于行为的RootKit检测方法.     

IceSword火眼金睛识别隐秘木马

现在的系统级后门功能越来越强,一般都可轻而易举地隐藏进程、端口、注册表、文件信息,一般的工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内核技术,使得这些后门躲无所躲。有些木马用一般的杀毒软件根本发现不了,原因是计算机系统没有免疫功能,但是它提供了对自身环境的相关检测功能——枚举进程、文件列表、级别权限保护等,大部分杀毒软件和进程工具都依赖于系统自带的检测功能才得以运作,而Rootkit木马要破坏的,正是这些功能。Rootkit木马的潜入原理要了解Rootkit木马的原理,就必须从系统原理说起,大家知道,操作系统是由…     

基于云规则的驱动级主动防御系统

主机的安全性主要体现在主机的防御系统方面,而最重要的技术就是系统行为监控技术。通过云规则的动态加载,获取互联网中恶意程序的最新信息,并对操作系统的重要资源进行访问控制。利用进程隐藏和进程终止保护技术对操作系统中重要进程进行保护;采用驱动隐藏和驱动卸载保护技术保护操作系统中的重要内核模块,同时可以阻止内核级和后门的恶意加载行为。实验结果表明,该防御系统具有良好的监控能力,不但可以阻止未知或者未授权的应用运行,还可以防止恶意程序修改正常的应用,从而达到对系统的安全性进行加固和扩展的目的。     

基于NT内核操作系统的RootKit的实现

介绍了Windows NT平台下RootKit实现的基本原理及步骤,探讨了在Windows平台下进行Ring0级编程的实现及如何修改安全参考监视器来彻底突破NT的安全防御系统,并给出了整个RootKit的部分核心汇编源代码。     

Windows Vista下的Rootkit攻防

Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit通过加载特殊的驱动,修改系统内核,进而达到隐藏信息的目的。     

Rootkit 黑客的最强后门

黑客入侵一台主机后,通常会留下后门以继续控制主机。对于一般的后门,我们用杀毒软件即可清除,然而现在有一种极为隐蔽的后门,别说杀毒软件发现不了,即使发现了也不能完全清除。这种后门叫Rootkit,它可以隐藏系统中的文件、服务、端口、进程等,如果配合其它的木马,就成了黑客的超级武器。下面让我们来了解一下这种强大的后门工具以及清除的方法。     

揪出藏在软件内的后门地址

一些软件被原作者或恶意修改者植入后门地址，导致下载用户的电脑在运行这些被人做了手脚的软件后，出现文件丢失和信息泄漏等现象。那么有没有可能在不影响软件正常运行的前提下，揪出藏在其内部的后门地址呢？本文将给出答案。     

应用程序作弊型后门防御模型

针对基于程序特征码检测清除后门代码的传统方法容易存在漏检的问题,在分析内嵌作弊型后门程序结构和后门激活机制的基础上,获得了利用合法消息建立后门控制信息传输隐通道的最小条件,提出一种基于打破后门激活条件预防作弊型后门的应用程序模型.通过对合法消息进行检查、缓冲和转换,拦截携带隐蔽信息的合法消息,打破隐藏于其中的后门控制信息编码,并通过事件日志审计检测漏过的非法操作和后门活动.在基于PC虚拟称重仪器上进行了实验,实验结果表明了该模型保护应用程序防御后门作弊的有效性.