一种通用的Shadow SSDT原始地址获取新方式 被引量：1

1

作者 霍亮 马恒太 张楠 《计算机应用与软件》 CSCD 北大核心 2014年第6期66-68,119,共4页

挂钩恢复是一项重要的安全技术。对Shadow系统服务描述表(SSDT)挂钩检测以及恢复方法进行分析,传统方法中的原始地址获取方式不仅存在Windows操作系统版本兼容性问题,而且代码逻辑复杂。针对该问题,提出一种通用算法,对Shadow SSDT原始... 挂钩恢复是一项重要的安全技术。对Shadow系统服务描述表(SSDT)挂钩检测以及恢复方法进行分析,传统方法中的原始地址获取方式不仅存在Windows操作系统版本兼容性问题,而且代码逻辑复杂。针对该问题,提出一种通用算法,对Shadow SSDT原始地址获取方法进行改进,并设计了基址重定位方法,减少了代码量,有效提高了稳定性和兼容性。 展开更多

关键词 SHADOW ssdt win32k SYS SHADOW ssdt钩子Shadow ssdt恢复

在线阅读 下载PDF 职称材料

基于SSDT的病毒主动防御技术研究 被引量：8

2

作者 杨阿辉 陈鑫昕 《计算机应用与软件》 CSCD 2010年第10期288-290,297,共4页

随着互联网的高速发展,计算机的安全问题也越来越严峻,传统的被动防御技术已经无法应对目前的病毒攻击行为。主动防御技术是近几年出现的一个新的概念,它克服了传统防御技术的缺陷,是对付病毒攻击的有效方法。介绍了主动防御的概念,实... 随着互联网的高速发展,计算机的安全问题也越来越严峻,传统的被动防御技术已经无法应对目前的病毒攻击行为。主动防御技术是近几年出现的一个新的概念,它克服了传统防御技术的缺陷,是对付病毒攻击的有效方法。介绍了主动防御的概念,实施主动防御的必要性,以及基于SSDT主动防御技术的实现,最后对主动防御技术的发展趋势作出展望。 展开更多

关键词 主动防御 ssdt HOOK(钩子) 特征值

在线阅读 下载PDF 职称材料

二次跳转的SSDT钩挂及其检测方法研究 被引量：3

3

作者 何耀彬 李祥和 韩卓 《计算机工程与应用》 CSCD 2012年第6期102-105,共4页

对传统SSDT钩挂(SSDT_Hook)及其检测方法进行了分析,同时分析了一种经过了二次跳转的SSDT钩挂方法。该方法使用了MOV指令跳转到可信任地址空间,再二次跳转到恶意代码中,突破了传统主动防御系统的JMP指令检测法和指令跳转分析法。最后,... 对传统SSDT钩挂(SSDT_Hook)及其检测方法进行了分析,同时分析了一种经过了二次跳转的SSDT钩挂方法。该方法使用了MOV指令跳转到可信任地址空间,再二次跳转到恶意代码中,突破了传统主动防御系统的JMP指令检测法和指令跳转分析法。最后,给出了一种针对该SSDT_Hook的检测方法,重点对传统检测方法中的SSDT寻址方法进行了改进,取得了较好的效果。 展开更多

关键词 ssdt钩挂 可信任地址空间 KeServiceDescriptorTable 二次跳转

在线阅读 下载PDF 职称材料

基于SSDT及回调函数的键盘记录方法 被引量：7

4

作者 陈俊杰 施勇 +1 位作者 薛质 陈欣 《计算机工程》 CAS CSCD 北大核心 2010年第11期120-122,共3页

当前反键盘记录技术更新迅速,且传统键盘记录方法存在较多缺陷。针对该现状,提出一种新型的键盘记录方法。该方法基于Shadow系统服务描述表(SSDT)及底层回调函数,关联用户模式和内核模式,可以突破目前主流的反键盘记录手段,同时稳定性... 当前反键盘记录技术更新迅速,且传统键盘记录方法存在较多缺陷。针对该现状,提出一种新型的键盘记录方法。该方法基于Shadow系统服务描述表(SSDT)及底层回调函数,关联用户模式和内核模式,可以突破目前主流的反键盘记录手段,同时稳定性高、通用性好、隐蔽性强。 展开更多

关键词 键盘记录 回调函数 Shadow系统服务描述表 主动防御

在线阅读 下载PDF 职称材料

基于SSDT恢复的反恶意代码技术 被引量：1

5

作者 陈萌 《计算机工程》 CAS CSCD 北大核心 2009年第21期128-130,共3页

通过修改系统服务调度表(SSDT),恶意代码可以避免被杀毒软件或反恶意软件清除。针对SSDT挂钩技术,通过系统文件重定位,实现基于SSDT恢复的反恶意代码技术,阐述Ntoskrnl.exe文件的重装方法和Ntoskrnl.exe文件偏移比较法。实验结果证明,... 通过修改系统服务调度表(SSDT),恶意代码可以避免被杀毒软件或反恶意软件清除。针对SSDT挂钩技术,通过系统文件重定位,实现基于SSDT恢复的反恶意代码技术,阐述Ntoskrnl.exe文件的重装方法和Ntoskrnl.exe文件偏移比较法。实验结果证明,该技术能使恶意代码和木马程序失效,保障系统安全。 展开更多

关键词 系统服务调度表 恶意软件 系统内核 挂钩

在线阅读 下载PDF 职称材料

基于行为分析的主动防御技术及其脆弱性研究 被引量：9

6

作者 罗晓波 王开建 徐良华 《计算机应用与软件》 CSCD 2009年第7期269-271,共3页

主动防御技术的出现弥补了传统的病毒扫描技术和防火墙技术的不足,给计算机系统提供了更加严密的保护。首先阐述了基于行为分析的主动防御技术的原理和实现,然后从几个方面对其脆弱性进行了分析,并研究了突破这种主动防御系统的可行性,... 主动防御技术的出现弥补了传统的病毒扫描技术和防火墙技术的不足,给计算机系统提供了更加严密的保护。首先阐述了基于行为分析的主动防御技术的原理和实现,然后从几个方面对其脆弱性进行了分析,并研究了突破这种主动防御系统的可行性,最后提出了一些方法来增强主动防御。 展开更多

关键词 主动防御 病毒扫描 防火墙 挂钩 ssdt

在线阅读 下载PDF 职称材料

Windows环境木马进程隐藏技术研究 被引量：21

7

作者 卢立蕾 文伟平 《信息网络安全》 2009年第5期35-37,46,共4页

本文介绍了在Windows环境下特洛伊木马常用的进程隐藏技术,结合实际,详细分析了利用系统服务方式、动态嵌入方式、SSDT Hook和DKOM技术实现进程隐藏的基本原理,对如何防御和检测木马具有一定的参考意义。

关键词 木马 进程 隐藏 系统服务 动态嵌入 ssdt HOOK DKOM

在线阅读 下载PDF 职称材料

反rootkit的内核完整性检测与恢复技术 被引量：3

8

作者 吴坤鸿 乐宏彦 《计算机工程》 CAS CSCD 北大核心 2008年第21期129-131,共3页

针对rootkit恶意软件挂钩SystemServiceDispatchTable和使用内联函数补丁进行隐藏文件的原理,提出基于内核文件的完整性检测和恢复方法,结果证明了其能够确保系统获取文件等敏感信息的完整性。

关键词 rootkit软件 ssdt截持 内联函数补丁 完整性恢复

在线阅读 下载PDF 职称材料

WCDMA系统中位置选择分集发射方式下的自适应小区分配算法研究

9

作者 邱晶 冯文江 《高技术通讯》 EI CAS CSCD 北大核心 2008年第2期137-141,共5页

针对 WCDMA 系统软切换的位置选择分集发射(SSDT)方式,提出了一种自适应导频功率调整和主小区选择算法。采用这种算法,各基站能够根据各自小区负载和覆盖情况动态调整其导频功率,进行相邻小区间的负载均衡,另外,以系统效用最大化为目标... 针对 WCDMA 系统软切换的位置选择分集发射(SSDT)方式,提出了一种自适应导频功率调整和主小区选择算法。采用这种算法,各基站能够根据各自小区负载和覆盖情况动态调整其导频功率,进行相邻小区间的负载均衡,另外,以系统效用最大化为目标,为每个用户选择最佳主小区。仿真结果表明,该算法能以可接受的计算复杂度换取系统性能的提高。 展开更多

关键词 位置选择分集发射(ssdt) 最佳主小区分配 系统效用

在线阅读 下载PDF 职称材料

一种网络安全进程管理器系统的设计与研究 被引量：4

10

作者 黄耿星 叶小平 郑焕鑫 《信息网络安全》 2013年第1期68-70,共3页

文章通过对病毒技术和Windows API调用机制的讨论,指出了Windows进程管理器的缺陷,针对结束进程和枚举进程这两个功能进行优化,设计并开发了一个安全进程管理系统,达到了检测隐藏进程和强制删除进程的效果。

关键词 ssdt 进程隐藏 进程保护 逆向

在线阅读 下载PDF 职称材料

一种基于交叉视图的Windows Rootkit检测方法 被引量：5

11

作者 陈晓苏 黄文超 肖道举 《计算机工程与科学》 CSCD 2007年第7期1-3,共3页

针对互联网上日益流行的Windows Rootkit程序的实现机制,本文分析了现有的检测方法,指出了其中可能存在的不足,在此基础上提出了一种基于交叉视图的Windows Rootkit检测方法,给出了基本检测思想以及具体实现步骤,讨论了其中关键检测步... 针对互联网上日益流行的Windows Rootkit程序的实现机制,本文分析了现有的检测方法,指出了其中可能存在的不足,在此基础上提出了一种基于交叉视图的Windows Rootkit检测方法,给出了基本检测思想以及具体实现步骤,讨论了其中关键检测步骤的处理过程,并通过一个有代表性的实例给出了实际的检测效果。 展开更多

关键词 ROOTKIT 隐藏 系统服务描述表 挂钩

在线阅读 下载PDF 职称材料

Windows Rootkit隐藏技术与综合检测方法 被引量：5

12

作者 左黎明 蒋兆峰 汤鹏志 《计算机工程》 CAS CSCD 北大核心 2009年第10期118-120,共3页

针对Rootkit具有隐藏、通信、监听等功能但存在典型木马特征对计算机系统危害严重问题,分析近年来Windows操作系统下Rootkit中各种主流隐藏技术(包括DKOM和各种钩子),指出当前单一检测方法的缺陷,提出综合性检测技术方案。实验结果表明... 针对Rootkit具有隐藏、通信、监听等功能但存在典型木马特征对计算机系统危害严重问题,分析近年来Windows操作系统下Rootkit中各种主流隐藏技术(包括DKOM和各种钩子),指出当前单一检测方法的缺陷,提出综合性检测技术方案。实验结果表明,该方法达到较好的检测效果,可以对目前大多数Rootkit行为进行检测。 展开更多

关键词 ROOTKIT技术 系统服务描述符表 隐藏

在线阅读 下载PDF 职称材料

恶意脚本程序研究以及基于API HOOK的注册表监控技术 被引量：8

13

作者 李珂泂 宁超 《计算机应用》 CSCD 北大核心 2009年第12期3197-3200,共4页

恶意脚本病毒具有自我复制、传播和破坏等行为,对当前计算机网络信息环境具有极大的危害性与破坏力。利用恶意脚本程序的一个重要特征(篡改用户注册表数据)对其进行监控,提出了一种基于API HOOK的注册表监控方案。该方案以注册表为监控... 恶意脚本病毒具有自我复制、传播和破坏等行为,对当前计算机网络信息环境具有极大的危害性与破坏力。利用恶意脚本程序的一个重要特征(篡改用户注册表数据)对其进行监控,提出了一种基于API HOOK的注册表监控方案。该方案以注册表为监控点,利用API HOOK技术,通过修改系统服务调度表中系统服务程序的入口地址,实现恶意脚本的检测与防范。该方案运用特定的逻辑和特征判断,可实现监控和保护注册表中用户特定的键值。 展开更多

关键词 恶意脚本 病毒 注册表 API HOOK 系统服务调度表

在线阅读 下载PDF 职称材料

Windows系统下多种Rootkit隐藏方式分析以及探测方法研究

14

作者 张亚航 刘波 +2 位作者 韩啸 姜电波 靳远游 《信息网络安全》 2009年第5期51-54,共4页

在网络攻防中,系统攻击者最大的障碍,常常是作为系统安全守护者的安全防护软件。本文通过对Windows NT操作系统下Rootkit隐藏机制的研究,分别实现了修改进程调度表SSDT、直接修改内核对象DKOM和修改IRP等多种Rootkit实现技术,达到对抗... 在网络攻防中,系统攻击者最大的障碍,常常是作为系统安全守护者的安全防护软件。本文通过对Windows NT操作系统下Rootkit隐藏机制的研究,分别实现了修改进程调度表SSDT、直接修改内核对象DKOM和修改IRP等多种Rootkit实现技术,达到对抗安全软件的目的。本文针对不同的Rootkit实现技术进行了Rootkit检测技术的研究和实现。 展开更多

关键词 WINDOWS ROOTKIT ssdt DKOM IRP 检测技术

在线阅读 下载PDF 职称材料

基于内核驱动的恶意代码动态检测技术 被引量：9

15

作者 李伟 苏璞睿 《中国科学院研究生院学报》 CAS CSCD 北大核心 2010年第5期695-703,共9页

通过对Windows下的代码注入方法和Hook技术的详尽分析与研究,提出了一种基于内核驱动的恶意代码动态检测方法.该方法采用驱动的方式运行于系统内核中,在不影响系统性能的前提下,动态监控系统中所有进程,同时及时准确地向用户报告任何攻... 通过对Windows下的代码注入方法和Hook技术的详尽分析与研究,提出了一种基于内核驱动的恶意代码动态检测方法.该方法采用驱动的方式运行于系统内核中,在不影响系统性能的前提下,动态监控系统中所有进程,同时及时准确地向用户报告任何攻击信息,增强了系统的整体安全性.实验结果表明,该方法在性能和检测方面都达到较好的检测效果. 展开更多

关键词 HOOK技术 系统服务描述符表 系统服务表

在线阅读 下载PDF 职称材料

PE病毒感染行为重定向器设计与实现

16

作者 何弦庭 叶小平 黄耿星 《信息网络安全》 2013年第4期25-28,共4页

文章设计了一个小型系统,它能将PE病毒的感染行为重定向到目标文件副本,使其感染行为失败。实现该程序的意义是使系统目录下的文件不受PE病毒感染,以及监控被PE病毒感染后的目标文件副本。实验证明,系统文件在正常情况下不会被模拟PE病... 文章设计了一个小型系统,它能将PE病毒的感染行为重定向到目标文件副本,使其感染行为失败。实现该程序的意义是使系统目录下的文件不受PE病毒感染,以及监控被PE病毒感染后的目标文件副本。实验证明,系统文件在正常情况下不会被模拟PE病毒感染。 展开更多

关键词 PE病毒 Windows内核模式驱动 ssdt—Hook

在线阅读 下载PDF 职称材料

改进的隐藏进程检测查杀技术 被引量：2

17

作者 李湘宁 凌捷 《计算机工程与设计》 北大核心 2016年第11期2939-2943,共5页

提出一种隐藏进程检测和查杀技术。融合直接操作内核对象技术与Hook KiswapProcess技术的优点,克服前者不能检测采用调用门技术隐藏的进程的缺点,改善后者检测效率偏低的不足,通过Hook NtTerminateProcess函数结束隐藏进程并保护系统中... 提出一种隐藏进程检测和查杀技术。融合直接操作内核对象技术与Hook KiswapProcess技术的优点,克服前者不能检测采用调用门技术隐藏的进程的缺点,改善后者检测效率偏低的不足,通过Hook NtTerminateProcess函数结束隐藏进程并保护系统中重要进程,基于该方法设计实现一个的隐藏进程查杀系统。模拟实验结果表明,该系统能有效地检测并结束绕过操作系统进程管理器的隐藏进程,具有保护进程的能力,兼具效率高、消耗系统资源少等优点。 展开更多

关键词 直接操作内核对象 隐藏进程 钩挂系统服务描述表 多进程守护病毒

在线阅读 下载PDF 职称材料