期刊文献+
共找到10篇文章
< 1 >
每页显示 20 50 100
基于挂钩系统服务调度表的ring0级内联挂钩对抗技术
1
作者 王森 王玥 《重庆工学院学报(自然科学版)》 2009年第12期93-97,共5页
针对目前安全防护软件在抵抗采用ring0级内联挂钩技术的恶意软件威胁时所遇到的修复困难、后遗症多、稳定性差等问题,从Windows系统内核函数调用机制出发,探究了系统服务调度表的功能.采用挂钩系统服务调度表的方法,实现了恶意软件内联... 针对目前安全防护软件在抵抗采用ring0级内联挂钩技术的恶意软件威胁时所遇到的修复困难、后遗症多、稳定性差等问题,从Windows系统内核函数调用机制出发,探究了系统服务调度表的功能.采用挂钩系统服务调度表的方法,实现了恶意软件内联挂钩的间接解除.此技术建立在不直接修改被恶意软件内联挂钩的代码基础上,因而具有突出的安全性、有效性和稳定性. 展开更多
关键词 内联挂钩 系统内核函数 系统服务调度表
下载PDF
基于挂接系统服务调度表的隐藏进程检测技术 被引量:1
2
作者 张清 牟永敏 《北京机械工业学院学报》 2008年第1期51-53,共3页
针对恶意软件躲避反恶意软件检测的进程隐藏技术,提出一种基于挂接系统服务调度表的进程检测方法,实现对隐藏进程的有效检测。通过挂接相应系统服务函数,在系统服务函数处理之前进行预处理,从而有效地防止了恶意软件通过拦截系统API函... 针对恶意软件躲避反恶意软件检测的进程隐藏技术,提出一种基于挂接系统服务调度表的进程检测方法,实现对隐藏进程的有效检测。通过挂接相应系统服务函数,在系统服务函数处理之前进行预处理,从而有效地防止了恶意软件通过拦截系统API函数的方式绕过进程检测。试验结果表明该检测方法是准确有效的。 展开更多
关键词 恶意软件 进程隐藏技术 系统服务调度表(ssdt) 挂接
下载PDF
基于SSDT恢复的反恶意代码技术 被引量:1
3
作者 陈萌 《计算机工程》 CAS CSCD 北大核心 2009年第21期128-130,共3页
通过修改系统服务调度表(SSDT),恶意代码可以避免被杀毒软件或反恶意软件清除。针对SSDT挂钩技术,通过系统文件重定位,实现基于SSDT恢复的反恶意代码技术,阐述Ntoskrnl.exe文件的重装方法和Ntoskrnl.exe文件偏移比较法。实验结果证明,... 通过修改系统服务调度表(SSDT),恶意代码可以避免被杀毒软件或反恶意软件清除。针对SSDT挂钩技术,通过系统文件重定位,实现基于SSDT恢复的反恶意代码技术,阐述Ntoskrnl.exe文件的重装方法和Ntoskrnl.exe文件偏移比较法。实验结果证明,该技术能使恶意代码和木马程序失效,保障系统安全。 展开更多
关键词 系统服务调度表 恶意软件 系统内核 挂钩
下载PDF
用户模式检测系统服务调度表的技术研究
4
作者 周凤娟 张加远 《才智》 2009年第31期61-62,共2页
为了保护系统服务调度表(System Service Dispatch Table,SSDT),发现隐藏于该内核模块的钩子,进行了深入研究,提出异于rookit以加载驱动程序的形式的内核检测模式,即两种在用户模式下检测SSDT钩子的方法:使用\device\physical memory在... 为了保护系统服务调度表(System Service Dispatch Table,SSDT),发现隐藏于该内核模块的钩子,进行了深入研究,提出异于rookit以加载驱动程序的形式的内核检测模式,即两种在用户模式下检测SSDT钩子的方法:使用\device\physical memory在用户模式下检测;用户模式使用Nt System Debug Control函数检测。实验表明,用户模式的这两种方法同样可以实现SSDT钩子的检测,并且用户程序省略了加载驱动时的繁琐步骤,避免了驱动的各种弊端。 展开更多
关键词 系统服务调度表 钩子 用户模式
原文传递
通过注册表监控实现木马检测 被引量:16
5
作者 李伟斌 王华勇 罗平 《计算机工程与设计》 CSCD 北大核心 2006年第12期2220-2222,共3页
提出一种基于挂接系统服务的木马检测技术,通过对注册表进行实时监控,有效地实现了对已知和未知木马的检测。传统的基于特征码的检测技术,只能检测已知的特洛伊木马,基于挂接系统服务的技术,有效克服了上述缺陷,试验结果证明了其有效性... 提出一种基于挂接系统服务的木马检测技术,通过对注册表进行实时监控,有效地实现了对已知和未知木马的检测。传统的基于特征码的检测技术,只能检测已知的特洛伊木马,基于挂接系统服务的技术,有效克服了上述缺陷,试验结果证明了其有效性和准确性。 展开更多
关键词 木马检测 注册表监控 系统服务调度表 挂接
下载PDF
利用木马的自启动特性对其进行监控 被引量:7
6
作者 李晓东 罗平 曾志峰 《计算机应用研究》 CSCD 北大核心 2007年第5期141-143,149,共4页
特洛伊木马作为一种新型的计算机网络入侵程序,比其他病毒对网络环境中计算机信息资源的危害都要大。提出利用木马的一个重要特征——自启动特性对其进行监控。通过挂接系统服务,对注册表和文件系统进行监控,从而实现木马检测。与传统... 特洛伊木马作为一种新型的计算机网络入侵程序,比其他病毒对网络环境中计算机信息资源的危害都要大。提出利用木马的一个重要特征——自启动特性对其进行监控。通过挂接系统服务,对注册表和文件系统进行监控,从而实现木马检测。与传统的检测方法相比,这种方法能有效地检测已知的和新出现的木马。由于是在内核中实现监控,一般木马很难逃避这种检测。 展开更多
关键词 木马 自启动特性 系统服务调度表 挂接
下载PDF
Windows环境木马进程隐藏技术研究 被引量:21
7
作者 卢立蕾 文伟平 《信息网络安全》 2009年第5期35-37,46,共4页
本文介绍了在Windows环境下特洛伊木马常用的进程隐藏技术,结合实际,详细分析了利用系统服务方式、动态嵌入方式、SSDT Hook和DKOM技术实现进程隐藏的基本原理,对如何防御和检测木马具有一定的参考意义。
关键词 木马 进程 隐藏 系统服务 动态嵌入 ssdt HOOK DKOM
下载PDF
恶意脚本程序研究以及基于API HOOK的注册表监控技术 被引量:8
8
作者 李珂泂 宁超 《计算机应用》 CSCD 北大核心 2009年第12期3197-3200,共4页
恶意脚本病毒具有自我复制、传播和破坏等行为,对当前计算机网络信息环境具有极大的危害性与破坏力。利用恶意脚本程序的一个重要特征(篡改用户注册表数据)对其进行监控,提出了一种基于API HOOK的注册表监控方案。该方案以注册表为监控... 恶意脚本病毒具有自我复制、传播和破坏等行为,对当前计算机网络信息环境具有极大的危害性与破坏力。利用恶意脚本程序的一个重要特征(篡改用户注册表数据)对其进行监控,提出了一种基于API HOOK的注册表监控方案。该方案以注册表为监控点,利用API HOOK技术,通过修改系统服务调度表中系统服务程序的入口地址,实现恶意脚本的检测与防范。该方案运用特定的逻辑和特征判断,可实现监控和保护注册表中用户特定的键值。 展开更多
关键词 恶意脚本 病毒 注册表 API HOOK 系统服务调度表
下载PDF
基于特征行为的远程访问型木马阻断技术 被引量:1
9
作者 姜坚 袁家斌 《计算机与数字工程》 2008年第11期90-93,共4页
综合分析大量远程访问型木马样本,提取出关键的特征行为,提出通过阻断远程访问型木马特征行为来使远程访问型木马失效。通过进入系统内核模式,从系统底层挂接系统服务调度表来实现,并取得了良好的效果。
关键词 远程访问型木马 行为阻断 挂接 系统服务调度表
下载PDF
Rootkit木马隐藏技术分析与检测技术综述 被引量:5
10
作者 刘喆 张家旺 《信息安全与通信保密》 2010年第11期61-65,共5页
对Rootkit技术和Windows操作系统内核工作流程作了简要介绍,对Rootkit木马的隐藏技术进行了分析,内容包括删除进程双向链表中的进程对象实现进程隐藏、SSDT表内核挂钩实现进程、文件和注册表键值隐藏和端口隐藏等Rootkit木马的隐藏机理... 对Rootkit技术和Windows操作系统内核工作流程作了简要介绍,对Rootkit木马的隐藏技术进行了分析,内容包括删除进程双向链表中的进程对象实现进程隐藏、SSDT表内核挂钩实现进程、文件和注册表键值隐藏和端口隐藏等Rootkit木马的隐藏机理,同时还对通过更改注册表和修改寄存器CR0的写保护位两种方式屏蔽WindowsXP和2003操作系统SSDT表只读属性的技术手段做了简要分析。最后对采用删除进程双项链表上的进程对象、更改内核执行路径和SSDT表内核调用挂钩3种Rootkit隐藏木马的检测技术作了概要性综述。 展开更多
关键词 ROOTKIT技术 系统服务描述符表(ssdt) 隐藏
原文传递
上一页 1 下一页 到第
使用帮助 返回顶部