基于SSDT及回调函数的键盘记录方法

当前反键盘记录技术更新迅速,且传统键盘记录方法存在较多缺陷。针对该现状,提出一种新型的键盘记录方法。该方法基于Shadow系统服务描述表(SSDT)及底层回调函数,关联用户模式和内核模式,可以突破目前主流的反键盘记录手段,同时稳定性高、通用性好、隐蔽性强。

基于SSDT的病毒主动防御技术研究

随着互联网的高速发展,计算机的安全问题也越来越严峻,传统的被动防御技术已经无法应对目前的病毒攻击行为。主动防御技术是近几年出现的一个新的概念,它克服了传统防御技术的缺陷,是对付病毒攻击的有效方法。介绍了主动防御的概念,实施主动防御的必要性,以及基于SSDT主动防御技术的实现,最后对主动防御技术的发展趋势作出展望。

基于SSDT恢复的反恶意代码技术

通过修改系统服务调度表(SSDT),恶意代码可以避免被杀毒软件或反恶意软件清除。针对SSDT挂钩技术,通过系统文件重定位,实现基于SSDT恢复的反恶意代码技术,阐述Ntoskrnl.exe文件的重装方法和Ntoskrnl.exe文件偏移比较法。实验结果证明,该技术能使恶意代码和木马程序失效,保障系统安全。

恶意脚本程序研究以及基于API HOOK的注册表监控技术

恶意脚本病毒具有自我复制、传播和破坏等行为,对当前计算机网络信息环境具有极大的危害性与破坏力。利用恶意脚本程序的一个重要特征(篡改用户注册表数据)对其进行监控,提出了一种基于API HOOK的注册表监控方案。该方案以注册表为监控点,利用API HOOK技术,通过修改系统服务调度表中系统服务程序的入口地址,实现恶意脚本的检测与防范。该方案运用特定的逻辑和特征判断,可实现监控和保护注册表中用户特定的键值。

通过注册表监控实现木马检测

提出一种基于挂接系统服务的木马检测技术,通过对注册表进行实时监控,有效地实现了对已知和未知木马的检测。传统的基于特征码的检测技术,只能检测已知的特洛伊木马,基于挂接系统服务的技术,有效克服了上述缺陷,试验结果证明了其有效性和准确性。

基于内核驱动的恶意代码动态检测技术

通过对Windows下的代码注入方法和Hook技术的详尽分析与研究,提出了一种基于内核驱动的恶意代码动态检测方法.该方法采用驱动的方式运行于系统内核中,在不影响系统性能的前提下,动态监控系统中所有进程,同时及时准确地向用户报告任何攻击信息,增强了系统的整体安全性.实验结果表明,该方法在性能和检测方面都达到较好的检测效果.

利用木马的自启动特性对其进行监控

特洛伊木马作为一种新型的计算机网络入侵程序,比其他病毒对网络环境中计算机信息资源的危害都要大。提出利用木马的一个重要特征——自启动特性对其进行监控。通过挂接系统服务,对注册表和文件系统进行监控,从而实现木马检测。与传统的检测方法相比,这种方法能有效地检测已知的和新出现的木马。由于是在内核中实现监控,一般木马很难逃避这种检测。

基于挂钩系统服务调度表的ring0级内联挂钩对抗技术

针对目前安全防护软件在抵抗采用ring0级内联挂钩技术的恶意软件威胁时所遇到的修复困难、后遗症多、稳定性差等问题,从Windows系统内核函数调用机制出发,探究了系统服务调度表的功能.采用挂钩系统服务调度表的方法,实现了恶意软件内联挂钩的间接解除.此技术建立在不直接修改被恶意软件内联挂钩的代码基础上,因而具有突出的安全性、有效性和稳定性.

基于特征行为的远程访问型木马阻断技术

综合分析大量远程访问型木马样本,提取出关键的特征行为,提出通过阻断远程访问型木马特征行为来使远程访问型木马失效。通过进入系统内核模式,从系统底层挂接系统服务调度表来实现,并取得了良好的效果。

基于挂接系统服务调度表的隐藏进程检测技术

针对恶意软件躲避反恶意软件检测的进程隐藏技术,提出一种基于挂接系统服务调度表的进程检测方法,实现对隐藏进程的有效检测。通过挂接相应系统服务函数,在系统服务函数处理之前进行预处理,从而有效地防止了恶意软件通过拦截系统API函数的方式绕过进程检测。试验结果表明该检测方法是准确有效的。

一种新型系统安全检测软件的设计与实现

基于SDK平台,采用内核检测技术,设计开发了一种监视注册表值的变化;检测病毒、木马等恶意软件隐藏的文件、进程及内核模块等主要功能的新型的系统安全检测软件。通过进程端口映射查找系统打开的端口信息有效地查找木马及NTFS流文件中的流病毒;通过查看BHO、LSP防止浏览器和网络被劫持;通过查看HOOK的SSDT及SSDT Shadow恢复被修改的内容。经实际系统测试与比较表明,系统能有效地保障系统软件的安全。

Rootkit木马隐藏技术分析与检测技术综述

对Rootkit技术和Windows操作系统内核工作流程作了简要介绍,对Rootkit木马的隐藏技术进行了分析,内容包括删除进程双向链表中的进程对象实现进程隐藏、SSDT表内核挂钩实现进程、文件和注册表键值隐藏和端口隐藏等Rootkit木马的隐藏机理,同时还对通过更改注册表和修改寄存器CR0的写保护位两种方式屏蔽WindowsXP和2003操作系统SSDT表只读属性的技术手段做了简要分析。最后对采用删除进程双项链表上的进程对象、更改内核执行路径和SSDT表内核调用挂钩3种Rootkit隐藏木马的检测技术作了概要性综述。