基于HOOK技术的进程管理系统研究

针对Windows任务管理器不能显示系统内部隐藏进程和不具有结束多进程守护病毒的能力问题,设计并实现了一个进程管理系统。系统应用基于HOOK技术检测隐藏进程的方法,继承了挂钩系统服务描述表和挂接SwapContext两种检测隐藏进程方法的优点,克服了前者可靠性不强、后者效率不高的缺点。通过截获TerminateProcess函数,转向自定义函数MyTerminateProcessList,实现同时结束多个进程的功能,弥补了任务管理器的不足。实验结果表明,该系统能够有效地检测到隐藏系统内部的进程,同时具有便捷性、高效性、占有系统资源少等特点。

基于系统安全的软件检测设计

基于SDK平台,采用内核检测技术,设计开发了一种新型的系统安全检测软件。其主要功能包括系统服务程序监视及相关操作;监视注册表值的变化;检测病毒、木马等恶意软件隐藏的文件、进程及内核模块等;强制结束掉被保护的进程和删掉被保护的文件,并通过进程端口映射能够查找系统打开的端口信息及打开端口的进程;有效地查找木马及NTFS流文件中的流病毒;通过查看BHO(Browser Helper Objects)、LSP(Layer Service Provider),防止浏览器和网络被劫持;通过查看被HOOK的SSDT(System Service Descript Table)及SSDT Shadow(System Service Descript Table Shadow)恢复被修改的内容。经过实际系统测试与比较表明,该系统能有效地保障系统软件的安全。

基于QoS的TETRA集群系统保密通信解决方案

从对TETRA系统风险分析入手,提出了一种基于服务质量(QoS)的保密通信解决方案。根据TETRA系统服务类型智能选择表,对各种不同系统服务需求,进行了按需加密。不仅满足了保密需求,而且还克服了加密与效率之间相对立的矛盾,迎合了面向未来可扩展性的需求,从而解决了TETRA集群系统内收发双方信息保密通信的难题。

一种新型系统安全检测软件的设计与实现

基于SDK平台,采用内核检测技术,设计开发了一种监视注册表值的变化;检测病毒、木马等恶意软件隐藏的文件、进程及内核模块等主要功能的新型的系统安全检测软件。通过进程端口映射查找系统打开的端口信息有效地查找木马及NTFS流文件中的流病毒;通过查看BHO、LSP防止浏览器和网络被劫持;通过查看HOOK的SSDT及SSDT Shadow恢复被修改的内容。经实际系统测试与比较表明,系统能有效地保障系统软件的安全。

基于内核驱动的恶意代码动态检测技术

通过对Windows下的代码注入方法和Hook技术的详尽分析与研究,提出了一种基于内核驱动的恶意代码动态检测方法.该方法采用驱动的方式运行于系统内核中,在不影响系统性能的前提下,动态监控系统中所有进程,同时及时准确地向用户报告任何攻击信息,增强了系统的整体安全性.实验结果表明,该方法在性能和检测方面都达到较好的检测效果.

基于SSDT及回调函数的键盘记录方法

当前反键盘记录技术更新迅速,且传统键盘记录方法存在较多缺陷。针对该现状,提出一种新型的键盘记录方法。该方法基于Shadow系统服务描述表(SSDT)及底层回调函数,关联用户模式和内核模式,可以突破目前主流的反键盘记录手段,同时稳定性高、通用性好、隐蔽性强。

一种基于交叉视图的Windows Rootkit检测方法

针对互联网上日益流行的Windows Rootkit程序的实现机制,本文分析了现有的检测方法,指出了其中可能存在的不足,在此基础上提出了一种基于交叉视图的Windows Rootkit检测方法,给出了基本检测思想以及具体实现步骤,讨论了其中关键检测步骤的处理过程,并通过一个有代表性的实例给出了实际的检测效果。

Windows Rootkit隐藏技术与综合检测方法

针对Rootkit具有隐藏、通信、监听等功能但存在典型木马特征对计算机系统危害严重问题,分析近年来Windows操作系统下Rootkit中各种主流隐藏技术(包括DKOM和各种钩子),指出当前单一检测方法的缺陷,提出综合性检测技术方案。实验结果表明,该方法达到较好的检测效果,可以对目前大多数Rootkit行为进行检测。

改进的隐藏进程检测查杀技术

提出一种隐藏进程检测和查杀技术。融合直接操作内核对象技术与Hook KiswapProcess技术的优点,克服前者不能检测采用调用门技术隐藏的进程的缺点,改善后者检测效率偏低的不足,通过Hook NtTerminateProcess函数结束隐藏进程并保护系统中重要进程,基于该方法设计实现一个的隐藏进程查杀系统。模拟实验结果表明,该系统能有效地检测并结束绕过操作系统进程管理器的隐藏进程,具有保护进程的能力,兼具效率高、消耗系统资源少等优点。

Windows Rootkit分析与检测综合方法

分析了已知的Rootkit检测方法,并根据上述检测方法提出了一种基于采用比较核心模块查证内存代码段的完整性和检测隐藏驱动的方法。该方法能够检测大部分应用层Rootkit和内核Rootkit.

强制访问控制在Windows上实施框架的研究与改进

计算机技术发展至今,安全问题一直处于风头浪尖之中。目前针对安全问题,一些技术方法应运而生,主动防御,侦测与反侦测等,而且可以在系统中不同的层次上实现,应用层和内核层。而本文是在系统级别上进行探索,比如linux,现在已有成熟的安全版本selinux操作系统。针对Windows操作系统,对强制访问控制进行了相关研究,对系统的效率性,兼容性,稳定性等提出了改进方案。

Rootkit木马隐藏技术分析与检测技术综述

对Rootkit技术和Windows操作系统内核工作流程作了简要介绍,对Rootkit木马的隐藏技术进行了分析,内容包括删除进程双向链表中的进程对象实现进程隐藏、SSDT表内核挂钩实现进程、文件和注册表键值隐藏和端口隐藏等Rootkit木马的隐藏机理,同时还对通过更改注册表和修改寄存器CR0的写保护位两种方式屏蔽WindowsXP和2003操作系统SSDT表只读属性的技术手段做了简要分析。最后对采用删除进程双项链表上的进程对象、更改内核执行路径和SSDT表内核调用挂钩3种Rootkit隐藏木马的检测技术作了概要性综述。

Windows NT下挂接SSDT隐藏进程的原理与实现

隐藏进程的方法有多种,而且有些技术已经深入到内核模式下,使计算机用户在任务管理器甚至一些检测软件中都难觅被隐藏进程的踪迹。本文详细分析了利用挂接SSDT实现进程隐藏的技术原理,给出了隐藏进程的核心算法,以及应用程序启动系统服务的方法。