内核对象机制在基于Windows 2000的数控系统中的应用

给出一个基于Windows2000的数控系统的软硬件结构,对其多任务机制进行分析。在介绍Windows2000内核对象机制之后,详细阐述利用内核对象机制来解决数控系统超大G代码文件处理、多任务间同步、应用程序和运动控制卡驱动程序间同步的方法。

μC/OS-Ⅲ的内核对象解析

μC/OS-Ⅲ是Micrium公司于2011年8月1日发布的第三代占先式硬实时系统,虽然其某些功能弱于Linux、An-droid等市场占有率极高的系统,但其优点也是显而易见的,如强实时性、微内核、对微处理器的要求低等。本文对μC/OS-Ⅲ的内核对象进行详细的分析。

Linux 2.6内核的内核对象机制分析

文中介绍了Linux2.6内核中管理设备及其驱动程序的内核对象机制,重点分析了该机制的主要数据结构、工作原理和操作函数。提出了基于嵌入应用时简化目录结构的方法。

基于直接内核对象操作的进程伪装保护方法

针对目前基于隐藏的进程保护方法容易被Rootkit检测工具检测出而失效的情况,提出了一种基于直接内核对象操作(DKOM)的进程伪装保护方法.该方法将进程隐藏方法中较为常用的DKOM技术与传统的伪装技术相结合,通过直接修改操作系统内核空间中存储进程相关信息的数据结构,使进程在任务管理器中显示为一些系统进程,以此达到保护进程的目的.进程信息的修改涉及内核的操作,由Windows驱动实现,该驱动兼容Windows 2000以上多个版本的操作系统,具有广泛适用性.实验结果显示,经过该方法修改后,进程查看工具查看到的进程信息与正常的系统进程没有差别.伪装效果较好,用户无法发觉,Rootkit检测工具也不会提示异常.验证了基于DKOM的进程伪装保护方法的有效性.

基于直接操作内核对象的进程隐藏技术研究

分析直接操作内核对象和调用门的实现机制,提出通过使用调用门,在无驱动情况下提升用户程序的特权级,进而修改内核中的进程双向链表实现进程隐藏。设计并实现一个基于该思路的木马程序,在实验条件下验证该木马的隐蔽性和存活能力,分析应对该类型木马的检测策略。实验证明,该木马可以有效实现进程隐藏,躲过常见安全防护软件的检测与查杀。

Elanix内核对象服务通信机制的设计与实现

Elanix是和欣操作系统(Elastos)在Linux上的构件化虚拟操作系统,ElanixServer是其中的内核对象服务模块。针对Ela-nix中内核对象的构件化特性,提出了ElanixServer的通信机制,设计并实现了其通信层次,包括:实现各内核对象的主体层、构件化设计的接口层、使用元数据的列集层、基于设备文件的传输层。分析了此通信机制的优点,测试表明ElanixServer对应用程序请求的响应时间明显少于WineServer的响应时间,这为Elanix内核对象与应用程序之间的通信提供了有效途径。

Win32下跨进程边界共享内核对象的实现

本文介绍了 Win32系统中内核对象在跨进程条件下实现共享的几种方法 ,并给出了一个集散控制系统中利用该方法实现数据共享的实例 。

内核对象的跨进程引用

本文首先阐述了内核对象的结构、管理和访问等操作,然后分析和比较了在不同进程中共享内核对象的实现机制。

对象驱动的Linux内核crash分类技术研究

Crash(程序崩溃)分析是漏洞挖掘与利用的关键阶段,精准的crash分类是crash分析和漏洞利用的前提.针对现有的Linux内核crash存在大量重复的问题,本文提出一种对象驱动的Linux内核crash分类方法.该方法将内核crash与内核对象的关系建模为二部图结构,从而将crash分类问题转化为内核对象的相似性对比问题.首先,通过对crash执行后向污点分析提取crash相关的内核对象;其次,构造内核对象调用图计算内核与根本原因的相关性度量;最后,基于上述结果构造二部图实现crash相似性比较算法.基于上述方法,本文开发出了Linux内核crash分类的原型系统.通过在真实的数据集上进行实验,验证了系统的有效性和可用性,弥补了现有分类方法粒度较粗,存在误报较多的问题.

基于内存池标记快速扫描技术的Windows内核驱动对象扫描

计算机内存取证领域中,基于内存池标记的池标记扫描技术在对内核驱动对象进行扫描时需要对全部物理内存进行详尽搜索,效率很低。提出了一种使用内存池标记快速扫描技术扫描Windows内核驱动对象的方法。该方法采用内存池标记快速扫描技术,减小扫描的内存范围,然后根据内核驱动对象特征对驱动对象进行快速扫描,以帮助调查人员判断驱动是否存在异常。实验表明,使用内存池标记快速扫描技术进行内核驱动对象扫描可以在保证误报率不变的情况下,极大地提高扫描效率,减少在扫描步骤花费的时间。

简单获取所有内核对象类型

最近翻阅黑防以前有关进程检测的文章．发现有从EPROCESS结构的双向链表出发的．有基于PspCidTable做进程检测的．于是我也试图尝试着看能不能探索出其他的进程检测方式。OBJECT_HADER_CREATOR_INFO这个结构让我看到了曙光．该结构的定义如下：

内核同步对象异常处理健壮性测试

提出了一种新的评价程序健壮性的指标——内核同步对象异常处理健壮性，描述了在Win32平台下利用软件缺陷注入技术进行这种健壮性测试的方法，并且在实际测试环境下对一些广泛使用的软件进行了测试，结果显示，这些软件在处理内核同步对象异常时存在着不同程度的不完善。

基于数据特征的内核恶意软件检测

内核恶意软件对操作系统的安全造成了严重威胁.现有的内核恶意软件检测方法主要从代码角度出发,无法检测代码复用、代码混淆攻击,且少量检测数据篡改攻击的方法因不变量特征有限导致检测能力受限.针对这些问题,提出了一种基于数据特征的内核恶意软件检测方法,通过分析内核运行过程中内核数据对象的访问过程,构建了内核数据对象访问模型;然后,基于该模型讨论了构建数据特征的过程,采用动态监控和静态分析相结合的方法识别内核数据对象,利用EPT监控内存访问操作构建数据特征;最后讨论了基于数据特征的内核恶意软件检测算法.在此基础上,实现了内核恶意软件检测原型系统MDS-DCB,并通过实验评测MDS-DCB的有效性和性能.实验结果表明:MDS-DCB能够有效检测内核恶意软件,且性能开销在可接受的范围内.

基于μC/OS-Ⅲ的供电综合保护器设计

针对供电综合保护系统功能和硬实时特性的要求,使用Cotex-M3内核MCU,基于μC/OS-Ⅲ实时操作系统,应用库开发方式完成了供电综合保护器的设计。根据系统要求,将保护功能划分为数据采集处理、保护和GUI显示等10个优先级不同的应用任务。基于优先级对应用任务进行管理,任务间通过信号量、任务消息队列和事件标志组等内核对象实现通信和同步,从而达到系统实时运行。经系统仿真监测实验,表明基于μC/OS-Ⅲ的保护程序设计能可靠实现多任务系统的实时运行。通过对μC/OS-Ⅲ系统任务的监测功能的合理配置,可对软件系统运行状态进行监测,并发现软件运行细节的不足,有利于后期优化升级改进。

一种基于变异“生产者—消费者”模型提高广播效率的方法

提出了一种解决变异的“生产者—消费者”问题的方法，并建立适当的模型，将它应用于网络中的数据广播，以获得较好的性能。该方法的提出是基于解决某公司打印计价电子秤SM-X系列软件传输速度慢、效率低下而提出的；旨在提高类似星型拓扑结构网络中的数据传输效率。实践表明该方法使数据的广播效率得到了较大的提高，且已投入实际应用。

Windows、Linux和TCP/IP中Timer的实现机制

在系统和应用程序的软件开发过程中,常常使用计数器,用来设置命令的超时时间,触发定时事件等。在Windows系统下,使用内核对象来管理各种各样的资源,计数器内核对象就是其中的一个.主要讨论了Windows、Linux和TCP/IP中关于Timer的实现机制和特性,并给出了应用的例子以供理解.

基于内存扫描的隐藏进程检测技术

针对恶意代码普遍使用Rootkit技术来隐藏自身进程这一特点,提出了基于内存扫描的隐藏进程检测方法。该方法通过对系统高端虚拟内存的扫描,判断其中存在的Windows内核对象的类型,得到可信的系统进程信息,从而实现对隐藏进程的检测。同时,该检测方法可以实现对其他类型的Windows内核对象的扫描,具有一定的扩展性。

改进的隐藏进程检测查杀技术

提出一种隐藏进程检测和查杀技术。融合直接操作内核对象技术与Hook KiswapProcess技术的优点,克服前者不能检测采用调用门技术隐藏的进程的缺点,改善后者检测效率偏低的不足,通过Hook NtTerminateProcess函数结束隐藏进程并保护系统中重要进程,基于该方法设计实现一个的隐藏进程查杀系统。模拟实验结果表明,该系统能有效地检测并结束绕过操作系统进程管理器的隐藏进程,具有保护进程的能力,兼具效率高、消耗系统资源少等优点。

DVB码流PCI接收卡的WDM设备驱动程序设计

针对PC平台DVB码流接收技术展开研究,介绍了在Windows 2 0 0 0操作系统下,采用Windows DDK 2 0 0 0编写符合WDM模式的PCI接收卡驱动程序,通过一个应用实例详细介绍了WDM模式,驱动程序内核对象以及驱动程序的各个例程的编写。本文对Windows2 0 0 0下各类驱动程序的开发有实际的借鉴意义。

WIN32下利用内存映射文件实现进程间通信

本文介绍了VC＋＋编译环境下利用内存映射文件实现WIN32进程间的通信，并通过实例介绍实现过程。