-
题名一种隐藏注入模块的新方法
被引量:1
- 1
-
-
作者
吴建
刘新
-
机构
湘潭大学信息工程学院"智能计算与信息处理"教育部重点实验室
-
出处
《计算机工程与科学》
CSCD
北大核心
2015年第8期1472-1478,共7页
-
基金
湖南省自然科学基金资助项目(12JJ3066)
-
文摘
在信息安全领域,安全分析工具往往需要将监控模块注入到其他进程空间以实现监控功能,但恶意软件往往会通过检测自身空间是否有其他模块来逃避监控。因此,安全工具需要对注入模块加以隐藏。比较常见的隐藏方法有:断开进程的LDR_MODULE链、Hook枚举模块的函数、抹去PE头等,但这些方法都有比较大的局限性。针对这些局限性,提出了一种对注入模块进行隐藏的新方法。在注入时利用普通有模块注入方式,让恶意软件疏于防范;注入之后消除自身模块,让恶意软件无法检测到监控软件的存在。对于应用中的一些具体技术问题给出了解决方法。实验结果表明,该方法突破防御能力强,可兼容各种版本的Windows操作系统,并且隐蔽性比目前的通用方法更好。
-
关键词
信息安全
ROOTKIT
线程注入
隐藏模块
有模块注入
无模块注入
-
Keywords
information security
Rootkit
thread injection
hide module
thread injection with mod- ule
thread injection without module
-
分类号
TP309.5
[自动化与计算机技术—计算机系统结构]
-
