基于虚拟化平台的隐藏进程检测技术

传统的安全服务模式,一般将自己的安全服务实体置于用户的操作内部,这样会产生巨大的资源开销和浪费。针对上述问题,设计了一种基于虚拟化技术的无代理隐藏进程检测技术。在分析Windows操作系统内部进程和线程调度机制的基础上,利用VMM(虚拟机监视器)中的VM(虚拟机透视图)技术获取和分析进程,识别隐藏进程。该技术将服务器实体设置在受保护操作系统之外,在受保护操作系统内部没有插件和代理进程,克服了传统安全服务的缺点。实验证明,所提出的方法可以有效检测出几乎所有类型的Rootkit隐藏的进程,既节省了计算资源,又提高了安全性。

基于劫持内核入口点的隐藏进程检测方法

针对现有的隐藏进程检测方法存在易规避、兼容性差、对操作系统性能影响较大等问题,提出了一种基于劫持内核入口点的隐藏进程检测方法.该方法根据进程与内核交互的行为特征,劫持用户态进入内核态的3类入口:KiFastCallEntry、IDT和GDT,通过语义重构建立内核态进程列表,结合交叉视图检测隐藏进程.实验表明,与其他进程检测方法相比,该方法可以检测目前各种Rootkit隐藏进程方法;支持多种Windows操作系统版本,且对操作系统的性能影响较小;准确性高,兼容性好,实用价值高.

利用虚拟机监视器检测及管理隐藏进程

恶意进程是威胁计算机系统安全的重大隐患,与内核级rootkit合作时具有较强的隐蔽性和不可觉察性.传统的隐藏进程检测工具驻留在被监控系统中,容易受到恶意篡改.为提高检测信息的精确性和检测系统的抗攻击能力,设计并实现一种基于虚拟机监视器的隐藏进程检测系统.该系统驻留在被监控虚拟机外,利用虚拟机自省机制获取被监控主机的底层状态信息,借助语义视图重构技术重构其进程队列,并通过交叉视图的方式比较各进程队列间的差异,从而确定隐藏进程.同时,该系统也提供相应的响应机制,用以汇报隐藏进程的详细信息(包括实际占用内存信息、网络端口等),以及提供终止和挂起隐藏进程的功能.通过对具有隐藏进程能力的rootkit进行实验,证明了系统的有效性和可行性.

基于支持向量机的隐藏进程检测技术研究

提出一种基于支持向量机的内核关键数据定位方法,通过向量机建立分类器对物理内存中执行体进程进行识别,建构可信进程视图.实验结果表明,该方法克服了现阶段利用操作系统版本信息的进程重构方法的缺陷,更具有通用性.

Windows平台下Rootkit进程检测

Rootkit是能够持久或可靠地存在于计算机系统上的一组程序或代码。为了达到无法检测的目的,Rootkit必须使用进程隐藏技术。Rootkit进程隐藏技术是一种以秘密方式在系统后台运行并窃取用户信息的技术。通过分析Windows平台下Rootkit进程隐藏技术的原理,研究了应用层和内核层两种模式下的Rootkit进程隐藏技术。针对Rootkit进程隐藏技术的特点,开发了一个基于句柄表三位一体交叉映射的Rootkit隐藏进程检测平台。系统测试表明,本平台能够检测出当前绝大部分主流Rootkit技术实现的隐藏进程,在实际应用中达到了较好的效果。