基于挂钩系统服务调度表的ring0级内联挂钩对抗技术

针对目前安全防护软件在抵抗采用ring0级内联挂钩技术的恶意软件威胁时所遇到的修复困难、后遗症多、稳定性差等问题,从Windows系统内核函数调用机制出发,探究了系统服务调度表的功能.采用挂钩系统服务调度表的方法,实现了恶意软件内联挂钩的间接解除.此技术建立在不直接修改被恶意软件内联挂钩的代码基础上,因而具有突出的安全性、有效性和稳定性.

基于挂接系统服务调度表的隐藏进程检测技术

针对恶意软件躲避反恶意软件检测的进程隐藏技术,提出一种基于挂接系统服务调度表的进程检测方法,实现对隐藏进程的有效检测。通过挂接相应系统服务函数,在系统服务函数处理之前进行预处理,从而有效地防止了恶意软件通过拦截系统API函数的方式绕过进程检测。试验结果表明该检测方法是准确有效的。

用户模式检测系统服务调度表的技术研究

为了保护系统服务调度表(System Service Dispatch Table,SSDT),发现隐藏于该内核模块的钩子,进行了深入研究,提出异于rookit以加载驱动程序的形式的内核检测模式,即两种在用户模式下检测SSDT钩子的方法:使用\device\physical memory在用户模式下检测;用户模式使用Nt System Debug Control函数检测。实验表明,用户模式的这两种方法同样可以实现SSDT钩子的检测,并且用户程序省略了加载驱动时的繁琐步骤,避免了驱动的各种弊端。

通过注册表监控实现木马检测

提出一种基于挂接系统服务的木马检测技术,通过对注册表进行实时监控,有效地实现了对已知和未知木马的检测。传统的基于特征码的检测技术,只能检测已知的特洛伊木马,基于挂接系统服务的技术,有效克服了上述缺陷,试验结果证明了其有效性和准确性。

利用木马的自启动特性对其进行监控

特洛伊木马作为一种新型的计算机网络入侵程序,比其他病毒对网络环境中计算机信息资源的危害都要大。提出利用木马的一个重要特征——自启动特性对其进行监控。通过挂接系统服务,对注册表和文件系统进行监控,从而实现木马检测。与传统的检测方法相比,这种方法能有效地检测已知的和新出现的木马。由于是在内核中实现监控,一般木马很难逃避这种检测。

恶意脚本程序研究以及基于API HOOK的注册表监控技术

恶意脚本病毒具有自我复制、传播和破坏等行为,对当前计算机网络信息环境具有极大的危害性与破坏力。利用恶意脚本程序的一个重要特征(篡改用户注册表数据)对其进行监控,提出了一种基于API HOOK的注册表监控方案。该方案以注册表为监控点,利用API HOOK技术,通过修改系统服务调度表中系统服务程序的入口地址,实现恶意脚本的检测与防范。该方案运用特定的逻辑和特征判断,可实现监控和保护注册表中用户特定的键值。

基于SSDT恢复的反恶意代码技术

通过修改系统服务调度表(SSDT),恶意代码可以避免被杀毒软件或反恶意软件清除。针对SSDT挂钩技术,通过系统文件重定位,实现基于SSDT恢复的反恶意代码技术,阐述Ntoskrnl.exe文件的重装方法和Ntoskrnl.exe文件偏移比较法。实验结果证明,该技术能使恶意代码和木马程序失效,保障系统安全。

基于特征行为的远程访问型木马阻断技术

综合分析大量远程访问型木马样本,提取出关键的特征行为,提出通过阻断远程访问型木马特征行为来使远程访问型木马失效。通过进入系统内核模式,从系统底层挂接系统服务调度表来实现,并取得了良好的效果。