恶意脚本程序研究以及基于API HOOK的注册表监控技术

恶意脚本病毒具有自我复制、传播和破坏等行为,对当前计算机网络信息环境具有极大的危害性与破坏力。利用恶意脚本程序的一个重要特征(篡改用户注册表数据)对其进行监控,提出了一种基于API HOOK的注册表监控方案。该方案以注册表为监控点,利用API HOOK技术,通过修改系统服务调度表中系统服务程序的入口地址,实现恶意脚本的检测与防范。该方案运用特定的逻辑和特征判断,可实现监控和保护注册表中用户特定的键值。

基于API Hook的硬盘保护技术

对现有的各类硬盘保护技术从技术和性能2方面分析,提出了一种基于APIHook的的硬盘保护手段和技术。该技术通过在用户级VxD(微软称为VSD,即Vendor Supplied Device)中链入对涉及文件操作的API函数的陷阱服务,采用文件映射技术,从而可以做到在更底层达到对硬盘文件数据的更完善和更彻底的保护。

基于API HOOK的医疗信息集成接口HIIC的研究与应用

医院不少遗留设备与软件系统并未提供标准接口,缺乏相关接口资料或者根本未提供接口,给医疗信息集成带来了极大的挑战。利用API HOOK技术设计了一种医疗信息集成接口HIIC(Health Information Integrating Component),应用到医院信息系统(HIS)中,专门解决异构系统的集成问题,实现了真正意义上的异构系统间的有效整合。

基于API HOOK的U盘安全卫士设计与实现

如何防止存储设备中的文件被泄露是很多用户面临的一个重要问题。现有U盘的加密软件和管理软件,都很难兼顾U盘的安全性与共享性。针对上述问题,设计了一款集安全、管理为一体的U盘管理软件。软件通过Windows系统下的API HOOK机制拦截用户操作,给予用户不同的访问权限,使U盘不仅方便管理,而且具有安全性高、成本低和共享性好等优点,具有广阔的应用前景。

基于API Hook的Stealth Loader局部堆问题解决

API(application programming interface)混淆是一种阻挠自动化沙箱或逆向分析人员识别程序调用API名称的技术,达到隐藏程序真实意图的目的,常被恶意软件开发者利用。该方向的最新成果为Kawakoya等人提出的Stealth Loader方法,已成功阻止了多种动静态分析工具对程序行为的跟踪记录。但该系统本身也存在诸多问题,包括ntdll模块初始化、多个模块之间局部堆共享、消息回调函数注册失败等,造成加壳后程序无法稳定运行。利用API Hook原理,劫持与BaseHeapHandleTable全局变量写入相关的API函数,实现该变量在两种不同模块管理系统之间的信息同步,成功解决该问题。除此之外,将基于空闲链表的内存管理系统与该方法相结合,删除加壳后程序的IAT(import address table,导入地址表),使得程彬林等人提出的检测算法失效,脱壳失败。未来将进一步解决该方法的其他问题。

基于API Hook的进程行为监控系统

基于API Hook的进程行为监控系统,利用钩子技术和内存保护技术,实现了透明地对客户机进程API调用行为的安全监控.首先通过对客户虚拟机的API函数设置钩子,截获虚拟机中的进程API调用行为;接着利用内存保护技术,对客户机的钩子进行隐藏和保护,保证行为监控对客户虚拟机的透明性;然后利用虚拟机管理器的隔离性,将安全工具放在安全域中,一方面防止恶意进程检测并且攻击安全工具,另外一方面解决恶意租户利用虚拟机进行攻击的问题;最后在截获客户虚拟机API调用的基础上,利用语义重构技术,对客户虚拟机进程创建、文件操作、注册表操作等行为进行细粒度监控.测试结果表明:(1)监控系统可以有效的截获客户虚拟机进程API调用,结合语义重构技术,监控系统能够有效地对进程创建、文件操作、注册表操作等进程行为进行监控;(2)针对单个Hook点性能测试表明,监控系统截获API调用对系统性能的影响为4.8%;(3)在文件监控方面,基于API Hook的进程行为监控系统相对于现有截获系统调用的监控系统性能提高73%.

基于API Hook技术的虚拟串口的实现

随着无线技术的日益发展,无线传输技术应用越来越被各行各业所接受。而现有的很多成熟应用系统依然使用串口通信方式,把它们从传统的有线方式迁移到无线监控领域已迫在眉睫,虚拟串口于是应运而生。本文提出采用APH Hook技术架构的虚拟串口,克服了现有的基于驱动程序结构的虚拟串口存在的稳定性欠佳的问题,而且灵活方便,平台兼容性更广。

利用API HOOK技术实现计算机保密通信

API HOOK技术是拦截操作系统API函数调用的技术,是程序员扩展操作系统内核功能的一 种重要手段,系统开发者可以利用该技术解决一些常规技术难以解决的问题。本文阐述了各类API HOOK技 术的工作机制,并具体分析了其在计算机保密通信中的应用。

HOOK API时代码注入方法和函数重定向技术研究

HOOK API是一种高级编程技术,在介绍Windows HOOK技术的基础上,阐述了HOOK API技术的概念,分析了HOOKAPI技术的实现原理,给出了三种实现HOOK API技术时的代码注入方法,即使用钩子注入DLL、使用注册表注入DLL及使用远程线程注入DLL。探讨两种实现HOOK API技术时的函数重定向技术,即利用PE文件中的导入表实现函数的重定向及通过嵌入汇编代码实现函数的重定向。

基于HOOK API技术的进程监控系统设计与实现

为有效阻止用户过度使用计算机,提出了一种用HOOK API技术实现进程自我保护的方法,该方法通过截获Open-Process函数,改变其执行流程,转向自定义代理函数来实现进程自我保护。在此基础上,设计并实现了一个进程监控系统,它增强了Windows任务管理器的功能。实验结果表明,在NT环境下,该系统能够有效地对系统进程及用户应用程序的运行时间进行管理和监控,而且具有很强的自我保护能力及消耗内存资源少等优点。

API Hook关键技术解析

本文分析了APIHook系统的实现结构和系统涉及的DLL注入和API拦截两项关键技术的多种实现途径,并结合应用给出了编程实现的方法。

基于API HOOK技术的特洛伊木马攻防研究

文章首先对Windows下的API HOOK技术进行分析研究,并将该技术运用于特洛伊木马的属性隐藏中。然后在此基础上实现了一个基于API HOOK技术的内核级木马。通过实验测试,该木马达到了较好的隐藏效果,可以避开目前大多数检测工具的检测。最后,讨论了基于API HOOK技术的特洛伊木马的检测技术。

基于APIHOOK技术的代码行为诊断系统的设计和开发

因为恶意代码在植入时的行为与正常代码有很大的不同,而这些行为就表现在所调用的相关API函数上,鉴于此,该文采用APIHOOK技术,设计了代码行为诊断系统,该系统根据代码在植入时调用的API函数来判断代码的"善恶",并给出了详细的代码行为,从而为进一步判断代码是否是恶意的提供了依据。

HOOK API技术内幕

HOOK是一个永恒的话题,如果没有HOOK,许多技术将很难实现,也许根本不能实现。可以用这样一句话来概括HOOK:没有HOOK,就没有今天多姿多彩的软件世界。HOO KAPI是HOOK技术里非常重要的一种,那么究竟是什么HOO KAPI,如何来进行HOO KAPI呢?该文带你进入HOO KAPI的世界。

Windows 9x,NT和2000下的API拦截技术

论述了常被Windows应用程序所使用的挂钩API调用的几项技术及其优缺点 ,并提出了在实现拦截API功能时 。

基于API捕获的SSLVPN中支持传统应用的研究

文章介绍了SSL协议和VPN技术,在分析一般SSLVPN只支持Web应用的基础上,引入了API捕获技术和Win dows钩子机制来研究在SSLVPN中支持传统应用的实现,扩展了SSLVPN的应用范围,提高了其灵活性及适应能力。

基于动态追踪技术侦测API钩挂

作为构筑各类应用基础的API函数的执行通常要历经用户状态和核心状态的多个模块,环节众多,很容易受到不安全模块的HOOK攻击,严重威胁整个系统的安全。针对此问题,提出了动态跟踪API函数执行流程,并结合搜索到的模块信息,确定执行流程中是否存在钩挂模块的方法。系统测试结果表明,该方法能够有效地追踪到从发起函数调用到内核系统服务调用所经历的模块信息,为确保API函数的安全运行奠定了良好的基础。

基于Socket API通信技术的计算机实验室管理系统开发

描述了一套能够监控和管理用户在实验室上机的软件系统的设计思想、设计原则、总体结构和实现技术。系统采用账号和密码结合方式管理用户上机,并在系统中设计了一套新的基于SocketAPI的通信方案和独特的进程防杀技术,克服了目前广泛使用的读卡管理系统存在的弊端,取得了良好的实验室管理效果。

LabView平台下用Windows API函数绘制波形图

本文探讨LabVIEW平台下基于Windows API函数的波形图绘制方法。利用钩子技术拦截操作系统的WM_PAINT消息,以解决图形的刷新、重绘与显现,该方法具有较强的新颖性。通过动态链接库的方法,实现LabVIEW和Windows API的无缝链接,提高了Labview编程的灵活性和效率。

基于API函数拦截技术的进程隐藏研究

API函数拦截是指通过特定的方法中断API函数的调用,转而执行用户的功能代码的一种行为.介绍了如何通过对API函数的拦截来实现进程的隐藏,重点讨论了所涉及到的DLL注入和API拦截两项关键技术的多种实现途径,并给出了实现进程隐藏的关键代码.