本论文研究了目前出现的各种进程隐藏技术,并利用WDM驱动编程验证了DKOM技术,详细介绍了在Windows Server 2008服务器平台上搭建驱动开发环境的方法和这种技术的实现过程,并最终模拟了服务器系统中的进程隐藏过程。在研究过程中利用Win...本论文研究了目前出现的各种进程隐藏技术,并利用WDM驱动编程验证了DKOM技术,详细介绍了在Windows Server 2008服务器平台上搭建驱动开发环境的方法和这种技术的实现过程,并最终模拟了服务器系统中的进程隐藏过程。在研究过程中利用WinDBG分析了重要的内核函数的实现机理,并查找了未公开的内核数据结构的定义。同时,本论文在实现进程隐藏的基础上,进一步实现了驱动程序模块的隐藏,更加真实的模拟了高危病毒运行的过程以及病毒对服务器所带来的安全隐患。在测试阶段,本论文公选用了Windows资源管理器、Process、EF ProcessManager、Antiy ports、Process Viewer、proscan六种主流的进程查看工具分别进行进程隐藏验证。结果表明,DKOM机制能够躲过以上所有工具,完美地隐藏自身。展开更多
