共查询到19条相似文献,搜索用时 203 毫秒
1.
Windows Rootkit隐藏技术研究 总被引:2,自引:0,他引:2
Rootkit是黑客为了隐藏其入侵痕迹、保留入侵权限而采用的一种技术。由于具有隐藏性好、难以检测的特点,Rootkit在Windows操作系统中的应用越来越广泛,并逐渐与病毒、木马、间谍软件等应用软件相结合,给网络信息安全带了严重危害。深入研究Windows操作系统中Rootkit的工作原理,对于防范其对网络安全造成的破坏有着重要的意义。 相似文献
2.
Rootkit是一组后门工具的集合,是特洛伊木马发展的高级阶段,其在特洛伊木马众多类别中危害性最大.深入研究Rootkit技术,做到网络攻防知己知彼,对防范木马攻击,减少网络破坏,保护重要信息系统有重要意义.通过研究Windows环境中Rootkit的隐藏技术,结合协同隐藏思想,提出了Rootkit的形式化模型,并在此基础上开发了一个Windows系统下的Rootkit原型.实验结果表明,该原型达到了较好的隐藏效果,可以避开目前大多数检测工具的检测. 相似文献
3.
内核脱钩技术在检测rootkit木马信息隐藏中的应用 总被引:1,自引:0,他引:1
简要讨论了Windows内核系统服务调用机制,分析了基于rootkit技术的木马通过内核态挂钩SystemServiceDispatch-Table隐藏各种敏感信息的一般原理.在检测SystemServiceDispatchTable挂钩隐藏注册表键值的基础上,提出两种内核检测脱钩方法,实现了对rootkit挂钩的有效检测与脱钩,确保了系统荻取注册表等敏感信息的完整性. 相似文献
4.
Android木马通过获取系统root权限,修改内核表项实现隐藏功能,进而躲避木马查杀软件的检测。因此研究An-droid系统隐藏技术对于发现隐藏木马、提高查杀软件的检测能力有重要意义。文中在传统Linux系统隐藏技术的基础上,对Android系统服务启动过程进行分析,探究出适用于Android系统的隐藏方法,并实现了一种Android Rootkit木马原型,用于测试现有木马检测软件对该类型木马的检测能力。文中提出了针对此类Rootkit型木马的检测方法,实验证明这些方法对检测此类木马有一定的作用。 相似文献
5.
6.
木马技术是网络安全的重要方面,也是网络攻击中获取信息的重要途径.隐藏技术是木马的关键技术之一,其直接决定木马的生存能力.从Rootkit的原理分析出发,深入的研究Windows下内核级木马的隐藏技术,并在此基础上实现一个内核级木马原型,最后介绍内核级木马的检测和应对策略. 相似文献
7.
8.
一种基于交叉视图的Windows Rootkit检测方法 总被引:6,自引:0,他引:6
Rootkit被病毒、木马等恶意软件用来隐藏其在被入侵系统上的踪迹,使得它们能够在系统中潜伏较长时间,它的存在给系统及其使用者带来较大的安全隐患.首先对Windows rootkit进行了研究,以此为基础,从rootkit的行为入手,提出了基于进程检测进行rootkit检测的机制,并设计了一种基于交又视图的Windows rootkit检测方法.这种方法通过比较从系统高层和底层获得的进程列袁,从中检测出被rootkit隐藏的进程,其中,系统底层的进程列表通过在Windows内核中查找内核对象的方法获得.最后,利用这种方法实现了一个Windows rootkit检测工具Ⅵ一TAL,并选用若干有代表性的rootkit进行实验,通过和其他工具的对比,验证了这种方法具有较强的检测功能. 相似文献
9.
对现有的Windows Rootkit进程隐藏技术进行了研究,提出了基于交叉视图的Rootkit进程隐藏检测技术.该技术通过比较从操作系统的高层和底层获取到的进程列表来检测被Rootkit所隐藏的进程,其中,底层进程列表是通过搜索内存中的内核对象来获得的.实验表明,该技术具有较好的检测效果. 相似文献
10.
Rootkit是能够持久或可靠地存在于计算机系统上的一组程序或代码.为了达到无法检测的目的,Rootkit必须使用进程隐藏技术.Rootkit进程隐藏技术是一种以秘密方式在系统后台运行并窃取用户信息的技术.通过分析Windows平台下Rootkit进程隐藏技术的原理,研究了应用层和内核层两种模式下的Rootkit进程隐藏技术.针对Rootkit进程隐藏技术的特点,开发了一个基于句柄表三位一体交叉映射的Rootkit隐藏进程检测平台.系统测试表明,本平台能够检测出当前绝大部分主流Rootkit技术实现的隐藏进程,在实际应用中达到了较好的效果. 相似文献
11.
注册表作为Microsoft Windows操作系统的核心,控制着Windows整个系统的运行,而Micosoft Windows是目前应用最广泛,同时也是遭受恶意行为攻击最多的操作系统。针对这一现象,本文提出一种基于One-Class支持向量机的异常检测方法,利用Windows注册表建立入侵检测模型,通过支持向量机算法实时判断当前注册表的访问行为是否为异常状态来发现和识别入侵。实验表明,该方法对未知病毒和入侵行为具有较高的检测率,可以在先验知识较少的情况下提高学习机的推广能力;同时,利用One-Class支持向量机方法可以在不影响检测性能的条件下减少检测的反应时间,大大提高了检测系统的性能。 相似文献
12.
Windows下系统服务Rootkits的检测与恢复 总被引:2,自引:0,他引:2
Rootkits是入侵者隐藏踪迹和保留访问权限的工具集.修改操作系统内核的Rootkit称之为内核Rootldt,使操作系统本身变得不可信任,造成极大的安全隐患.针对系统服务的Rootkits是内核中最常见的Rootkits.分析了当前Windows下系统服务各种Rootkits,提出了一种利用驱动程序,无需符号文件的检测和修复方法,能准确检测出Windows下各种系统服务Rootkits并且进行恢复. 相似文献
13.
从功能上来看,Rootkit是指隐藏进程、网络端口、文件痕迹等的恶意软件,现已被广泛应用在黑客入侵和攻击他人的计算机系统上。许多计算机病毒、间谍软件也都常常使用Rootkit潜伏在操作系统上伺机而动。如何有效地对Rootkit进行检测和防范成为应对木马入侵和僵尸网络的首要解决的关键问题。文章在以往的研究基础上,通过深入探讨Windows底层原理,开发了一个基于WindowsAPI调用机制的Rootkit检测系统。在该系统的帮助下,用户不但可以深入查看操作系统的各类底层信息,还可以很方便地找出隐藏在计算机之中的病毒、木马并进行清理,从而更好地保护操作系统。该系统丰富了现今针对Rootkit检测的研究成果,对后续的研究具有一定的参考价值。 相似文献
14.
基于内存扫描的隐藏进程检测技术 总被引:1,自引:1,他引:1
针对恶意代码普遍使用Rootkit技术来隐藏自身进程这一特点,提出了基于内存扫描的隐藏进程检测方法。该方法通过对系统高端虚拟内存的扫描,判断其中存在的Windows内核对象的类型,得到可信的系统进程信息,从而实现对隐藏进程的检测。同时,该检测方法可以实现对其他类型的Windows内核对象的扫描,具有一定的扩展性。 相似文献
15.
16.
17.
18.
19.
基于可执行路径分析的隐藏进程检测方法 总被引:1,自引:0,他引:1
韩芳 《计算机与数字工程》2009,37(1):115-117
研究了内核模式下进程隐藏的原理和进程隐藏检测技术。在此基础上,提出了一种Windows操作系统内核模式下基于可执行路径分析(EPA)的隐藏进程检测技术。通过检查某些关键系统函数执行时所用的指令个数,来判断这些函数是否执行了多余的代码,从而断定系统被Windows Rootkit修改过了。利用该方法,可以检测出当前常规安全检测工具不能发现的系统恶意程序的进程隐藏。 相似文献