共查询到20条相似文献,搜索用时 312 毫秒
1.
2.
基于内存扫描的隐藏进程检测技术 总被引:1,自引:1,他引:1
针对恶意代码普遍使用Rootkit技术来隐藏自身进程这一特点,提出了基于内存扫描的隐藏进程检测方法。该方法通过对系统高端虚拟内存的扫描,判断其中存在的Windows内核对象的类型,得到可信的系统进程信息,从而实现对隐藏进程的检测。同时,该检测方法可以实现对其他类型的Windows内核对象的扫描,具有一定的扩展性。 相似文献
3.
左黎明 《计算机技术与发展》2008,18(9)
Windows内核恶意代码是指能够通过改变Windows执行流程或者改变内核审计和簿记系统所依赖的数据结构等手段以达到隐藏自身,实现恶意功能的程序或程序集,对操作系统安全造成很大的危害.对近年来基于NT内核的微软Windows操作系统下恶意代码主要的隐藏实现技术(包括对进程函数、注册表函数、SSDT等的HOOK行为)进行了深入分析研究,提出了一些具有实用价值的恶意代码检测技术方案.实践表明文中提出的恶意代码分析检测技术在实际中具有积极的指导意义. 相似文献
4.
基于可执行路径分析的隐藏进程检测方法 总被引:1,自引:0,他引:1
韩芳 《计算机与数字工程》2009,37(1):115-117
研究了内核模式下进程隐藏的原理和进程隐藏检测技术。在此基础上,提出了一种Windows操作系统内核模式下基于可执行路径分析(EPA)的隐藏进程检测技术。通过检查某些关键系统函数执行时所用的指令个数,来判断这些函数是否执行了多余的代码,从而断定系统被Windows Rootkit修改过了。利用该方法,可以检测出当前常规安全检测工具不能发现的系统恶意程序的进程隐藏。 相似文献
5.
Rootkit是能够持久或可靠地存在于计算机系统上的一组程序或代码.为了达到无法检测的目的,Rootkit必须使用进程隐藏技术.Rootkit进程隐藏技术是一种以秘密方式在系统后台运行并窃取用户信息的技术.通过分析Windows平台下Rootkit进程隐藏技术的原理,研究了应用层和内核层两种模式下的Rootkit进程隐藏技术.针对Rootkit进程隐藏技术的特点,开发了一个基于句柄表三位一体交叉映射的Rootkit隐藏进程检测平台.系统测试表明,本平台能够检测出当前绝大部分主流Rootkit技术实现的隐藏进程,在实际应用中达到了较好的效果. 相似文献
6.
本文分析了Linux 0.11版本中的进程调度算法,并在此基础上设计了一种新的调度算法——进程随机调度算法.本文利用WinImage软件导出(导入)相应的进程调度文件至Windows系统(Linux系统),利用Editplus软件将原有的进程调度算法替换成新的调度算法,实现了Windows平台和Linux平台的交互,最后成功地完成了Linux内核的重新编译. 相似文献
7.
分析了进程隐藏方法及常用检测方法,论述了搜索系统内存检测隐藏进程的原理及实现方法,即首先判断页面是否有效,再根据EPROCESS结构体特征及OBJECT对象头特征来判断内存地址是否为EPROCESS地址,并给出PAE内存模式与普通内存模式的判别方法及两种内存模式判断页面是否有效的方法,探讨了提高搜索效率的方法.在windows 7、vista等操作系统两种内存模式上实验表明可高效枚举所有进程,包括通过挂钩枚举进程的函数或进入内核空间直接修改内核数据来达到隐藏自身目的的进程. 相似文献
8.
Windows内核恶意代码是指能够通过改变Windows执行流程或者改变内核审计和簿记系统所依赖的数据结构等手段以达到隐藏自身,实现恶意功能的程序或程序集,对操作系统安全造成很大的危害。对近年来基于NT内核的微软Windows操作系统下恶意代码主要的隐藏实现技术(包括对进程函数、注册表函数、SSDT等的HOOK行为)进行了深入分析研究,提出了一些具有实用价值的恶意代码检测技术方案。实践表明文中提出的恶意代码分析检测技术在实际中具有积极的指导意义。 相似文献
9.
对现有的Windows Rootkit进程隐藏技术进行了研究,提出了基于交叉视图的Rootkit进程隐藏检测技术.该技术通过比较从操作系统的高层和底层获取到的进程列表来检测被Rootkit所隐藏的进程,其中,底层进程列表是通过搜索内存中的内核对象来获得的.实验表明,该技术具有较好的检测效果. 相似文献
10.
对不支持可加载模块的系统内核入侵代码隐藏技术进行了研究.比较了内核支持可加载模块和内核不支持可加载模块的内核入侵的方法区别,阐述了内核入侵在求解系统调用表的地址、kmalloc函数的地址、编写函数分配内核空间内存、编写入侵代码、汇编代码处理、提取代码段及重定位信息、分配内核空间的内存、代码写入分配的内存等八个主要流程.在总结入侵代码隐藏技术原理的基础上,给出了入侵代码隐藏文件信息、进程信息和网络连接技术的详细设计实现. 相似文献
11.
统一可扩展固件接口(UEFI)缺乏相应的安全保障机制,易受恶意代码的攻击,而传统的计算机安全系统无法为固件启动过程和操作系统引导过程提供安全保护。针对上述问题,设计基于UEFI的恶意代码防范系统。该系统利用多模式匹配算法实现特征码检测引擎,用于在计算机启动过程中检测与清除恶意代码,并提供恶意启动项处理及系统内核文件备份等功能。实验结果证明,该系统能为固件及上层操作系统提供完善的安全保护,且代码尺寸小、检测速度快,恶意代码识别率高。 相似文献
12.
13.
14.
15.
通过修改系统服务调度表(SSDT),恶意代码可以避免被杀毒软件或反恶意软件清除。针对SSDT挂钩技术,通过系统文件重定位,实现基于SSDT恢复的反恶意代码技术,阐述Ntoskrnl.exe文件的重装方法和Ntoskrnl.exe文件偏移比较法。实验结果证明,该技术能使恶意代码和木马程序失效,保障系统安全。 相似文献
16.
17.
18.
近年来,多核图聚类(MKGC)受到了广泛的关注,这得益于多核学习能有效地避免核函数与核参数的选择,而图聚类能充分挖掘样本间的复杂结构信息。然而现有的MKGC方法存在着如下问题:图学习技术使得模型复杂化,图拉普拉斯矩阵的高秩特性使其难以保证学到的关系图包含精确的c个连通分量(块对角性质),以及大部分方法忽略了候选关系图间的高阶结构信息,使得多核信息难以被充分利用。针对以上问题,提出了一种新的MKGC方法。首先,提出一种新的上界单纯形投影图学习方法,直接将核矩阵投影到图单纯形上,降低了计算复杂度;同时,引入一种新的块对角约束,使学到的关系图能保持精确的块对角属性;此外,在上界单纯形投影空间中引入低秩张量学习来充分挖掘多个候选关系图的高阶结构信息。在多个数据集上与现有的MKGC方法相比,所提出方法计算量小、稳定性高,在聚类精度(ACC)和标准互信息(NMI)指标上具有较大的优势。 相似文献
19.
Block-wise 2D kernel PCA/LDA for face recognition 总被引:1,自引:0,他引:1
Armin Eftekhari Hamid Abrishami Moghaddam Javad Alirezaie 《Information Processing Letters》2010,110(17):761-766
Direct extension of (2D) matrix-based linear subspace algorithms to kernel-induced feature space is computationally intractable and also fails to exploit local characteristics of input data. In this letter, we develop a 2D generalized framework which integrates the concept of kernel machines with 2D principal component analysis (PCA) and 2D linear discriminant analysis (LDA). In order to remedy the mentioned drawbacks, we propose a block-wise approach based on the assumption that data is multi-modally distributed in so-called block manifolds. Proposed methods, namely block-wise 2D kernel PCA (B2D-KPCA) and block-wise 2D generalized discriminant analysis (B2D-GDA), attempt to find local nonlinear subspace projections in each block manifold or alternatively search for linear subspace projections in kernel space associated with each blockset. Experimental results on ORL face database attests to the reliability of the proposed block-wise approach compared with related published methods. 相似文献