期刊文献+
任意字段
题名或关键词
题名
关键词
文摘
作者
第一作者
机构
刊名
分类号
参考文献
作者简介
基金资助
栏目信息

基于内存扫描的隐藏进程检测技术 被引量:8

Hidden process detection techniques based on memory scanning
下载PDF
导出
摘要 针对恶意代码普遍使用Rootkit技术来隐藏自身进程这一特点,提出了基于内存扫描的隐藏进程检测方法。该方法通过对系统高端虚拟内存的扫描,判断其中存在的Windows内核对象的类型,得到可信的系统进程信息,从而实现对隐藏进程的检测。同时,该检测方法可以实现对其他类型的Windows内核对象的扫描,具有一定的扩展性。 Malicious code commonly uses Rootkit technology to hide its own process, in order to detect malicious code. This article proposed a hidden process detection method based on scanning the memory. The authors scanned the system highend virtual memory, estimated the Windows kernel object type and got the trustworthy system process information, thus achieving the hidden process detection. At the same way, this detection method could be used on other types of Windows kernel obiect scanning with a certain extensibihty.
作者 王璟 武东英
机构地区 信息工程大学信息工程学院
出处 《计算机应用》 CSCD 北大核心 2009年第B06期89-91,共3页 journal of Computer Applications
关键词 内存扫描 隐藏进程 检测 Windows内核对象 PAE模式 memory scanning hidden process detection Windows kernel object PAE mode
分类号 TP309.5 [自动化与计算机技术—计算机系统结构]
  • 相关文献

参考文献1

  • 1BUTLER J,SPARKS S.Windows rootkits of2005,part one. http://blog.csdn.net/coding-hello/ar-chive/2007/06/14/1652815.aspx . 2007 被引量:1

同被引文献62

  • 1李伟,苏璞睿.基于内核驱动的恶意代码动态检测技术[J].中国科学院研究生院学报,2010,27(5):695-703. 被引量:9
  • 2梁晓,李毅超.基于线程调度的进程隐藏检测技术研究[J].计算机科学,2006,33(10):114-115. 被引量:8
  • 3葛军,黄土平.灰鸽子远程控制系列[EB/OL].[2005-06-11].http://www.huigezi.net/index.asp. 被引量:2
  • 4KIMMO K.Detecting hidden process by hooking the swapcontext function[EB/OL].[2009-08-26].https://www.Roctkit.com/newsread.php?newsid = 170. 被引量:1
  • 5JAMES R,BUTELER I I.Detecting compromises of core subsystems and kernel function in Windows NT/2000 / XP[D].Baltimore,USA:University of Maryland,2002. 被引量:1
  • 6KATH R.The virtual-memory manager in Windows NT[EB/OL].(1992-12-21)[2009-09-16].http://msdn.microsoft.com/ en-us/library/ms810616.aspx. 被引量:1
  • 7毛德操.Windows内核情景分析[M].北京:电子工业出版社,2009. 被引量:8
  • 8HOGLUNDG.Ntrootkit[EB/OL].(2005-12-19)[2009-06-06].http://www.rcotkit.com/project.php?id = 11. 被引量:1
  • 9Fuzen_op,FU Rootkit[EB/OL].(2007-11-23)[2009-07-01].http://www.rootkit.com/project.php? id = 12. 被引量:1
  • 10AV杀手利用Windows映像劫持技术改注册表[EB/OL].(2008-04-10)[2009-07-01].http://tieba.baidu.com/f? kz = 353608650. 被引量:1

引证文献8

二级引证文献14

计算机应用
2009年 第B06期

相关作者

内容加载中请稍等...

相关机构

内容加载中请稍等...

相关主题

内容加载中请稍等...

浏览历史

内容加载中请稍等...
;
使用帮助 返回顶部