Windows注册表隐藏检测完全解决方案

在分析Windows注册表系统及注册表隐藏技术的基础上,提出一个完全解决方案用于检测被Rootkit等木马隐藏的注册表项。设计底层数据复制算法来复制注册表文件,以解决无法直接读取注册表信息的问题,通过多层次匹配算法检测得到注册表的隐藏位置。实验结果证明,该方案可以突破Windows系统的限制,检测到从内核层到应用层所有被隐藏和修改的注册表信息及其隐藏位置,且不受Rootkit木马干扰。

基于注册表Hive文件的恶意程序隐藏检测方法

研究当今恶意程序的发展趋势,系统比较了在注册表隐藏和检测方面的诸多技术和方法,综合分析了它们存在的不足,提出了一种基于注册表Hive文件来进行恶意程序隐藏检测的方法,使得针对恶意程序的检测更加完整和可靠。实验表明,该方法可以检测出当前所有进行了注册表隐藏的恶意程序。

Windows服务隐藏技术研究与实现

恶意程序利用Windows服务可以实现自启动及部分隐藏功能,研究服务隐藏技术能够提高对此类恶意程序的检测能力.研究了Windows服务的启动过程及服务对象的内部数据结构,提出一种结合内存隐藏和注册表隐藏的多点联合隐藏方法,设计并实现了一个基于该方法的服务隐藏程序,在实验条件下测试了此方法的隐藏效果,分析了应对该类型服务隐藏技术的检测策略.实验证明该方法能够在不影响服务功能的前提下,有效隐藏服务,躲避各类检测工具.