Windows环境木马进程隐藏技术研究 被引量：21

1

作者 卢立蕾 文伟平 《信息网络安全》 2009年第5期35-37,46,共4页

本文介绍了在Windows环境下特洛伊木马常用的进程隐藏技术,结合实际,详细分析了利用系统服务方式、动态嵌入方式、SSDT Hook和DKOM技术实现进程隐藏的基本原理,对如何防御和检测木马具有一定的参考意义。

关键词 木马 进程 隐藏 系统服务 动态嵌入 ssdt HOOK DKOM

下载PDF 职称材料

基于SSDT的病毒主动防御技术研究 被引量：8

2

作者 杨阿辉 陈鑫昕 《计算机应用与软件》 CSCD 2010年第10期288-290,297,共4页

随着互联网的高速发展,计算机的安全问题也越来越严峻,传统的被动防御技术已经无法应对目前的病毒攻击行为。主动防御技术是近几年出现的一个新的概念,它克服了传统防御技术的缺陷,是对付病毒攻击的有效方法。介绍了主动防御的概念,实... 随着互联网的高速发展,计算机的安全问题也越来越严峻,传统的被动防御技术已经无法应对目前的病毒攻击行为。主动防御技术是近几年出现的一个新的概念,它克服了传统防御技术的缺陷,是对付病毒攻击的有效方法。介绍了主动防御的概念,实施主动防御的必要性,以及基于SSDT主动防御技术的实现,最后对主动防御技术的发展趋势作出展望。 展开更多

关键词 主动防御 ssdt HOOK(钩子) 特征值

下载PDF 职称材料

基于行为分析的主动防御技术及其脆弱性研究 被引量：9

3

作者 罗晓波 王开建 徐良华 《计算机应用与软件》 CSCD 2009年第7期269-271,共3页

主动防御技术的出现弥补了传统的病毒扫描技术和防火墙技术的不足,给计算机系统提供了更加严密的保护。首先阐述了基于行为分析的主动防御技术的原理和实现,然后从几个方面对其脆弱性进行了分析,并研究了突破这种主动防御系统的可行性,... 主动防御技术的出现弥补了传统的病毒扫描技术和防火墙技术的不足,给计算机系统提供了更加严密的保护。首先阐述了基于行为分析的主动防御技术的原理和实现,然后从几个方面对其脆弱性进行了分析,并研究了突破这种主动防御系统的可行性,最后提出了一些方法来增强主动防御。 展开更多

关键词 主动防御 病毒扫描 防火墙 挂钩 ssdt

下载PDF 职称材料

一种基于交叉视图的Windows Rootkit检测方法 被引量：5

4

作者 陈晓苏 黄文超 肖道举 《计算机工程与科学》 CSCD 2007年第7期1-3,共3页

针对互联网上日益流行的Windows Rootkit程序的实现机制,本文分析了现有的检测方法,指出了其中可能存在的不足,在此基础上提出了一种基于交叉视图的Windows Rootkit检测方法,给出了基本检测思想以及具体实现步骤,讨论了其中关键检测步... 针对互联网上日益流行的Windows Rootkit程序的实现机制,本文分析了现有的检测方法,指出了其中可能存在的不足,在此基础上提出了一种基于交叉视图的Windows Rootkit检测方法,给出了基本检测思想以及具体实现步骤,讨论了其中关键检测步骤的处理过程,并通过一个有代表性的实例给出了实际的检测效果。 展开更多

关键词 ROOTKIT 隐藏 系统服务描述表 挂钩

下载PDF 职称材料

SSDT挂钩:基于Windows内核的RootKit技术样本 被引量：6

5

作者 刘邦明 邬浙艳 孙黉杰 《网络安全技术与应用》 2009年第3期62-64,共3页

NT操作系统结构是Windows操作系统稳定性和安全性的基石,该结构分层为用户层(User Mode)和内核层(Kernel Mode)。内核层享有操作系统非常高的操作权限和自由度,其暴露的系统服务描述符表(SSDT)具有可修改性,是SSDT挂钩机制实现的基础;... NT操作系统结构是Windows操作系统稳定性和安全性的基石,该结构分层为用户层(User Mode)和内核层(Kernel Mode)。内核层享有操作系统非常高的操作权限和自由度,其暴露的系统服务描述符表(SSDT)具有可修改性,是SSDT挂钩机制实现的基础;而系统服务函数所在内核组件模块的不可深入性,导致目前检测和清除SSDT挂钩尚有较大难度。本文研究SSDT挂钩机制对深入理解和应用RootKit技术具有典型意义。 展开更多

关键词 ssdt HOOK I WINDOWS内核 ROOTKIT NATIVE API

原文传递

一种网络安全进程管理器系统的设计与研究 被引量：4

6

作者 黄耿星 叶小平 郑焕鑫 《信息网络安全》 2013年第1期68-70,共3页

文章通过对病毒技术和Windows API调用机制的讨论,指出了Windows进程管理器的缺陷,针对结束进程和枚举进程这两个功能进行优化,设计并开发了一个安全进程管理系统,达到了检测隐藏进程和强制删除进程的效果。

关键词 ssdt 进程隐藏 进程保护 逆向

下载PDF 职称材料

一种通用的Shadow SSDT原始地址获取新方式 被引量：1

7

作者 霍亮 马恒太 张楠 《计算机应用与软件》 CSCD 北大核心 2014年第6期66-68,119,共4页

挂钩恢复是一项重要的安全技术。对Shadow系统服务描述表(SSDT)挂钩检测以及恢复方法进行分析,传统方法中的原始地址获取方式不仅存在Windows操作系统版本兼容性问题,而且代码逻辑复杂。针对该问题,提出一种通用算法,对Shadow SSDT原始... 挂钩恢复是一项重要的安全技术。对Shadow系统服务描述表(SSDT)挂钩检测以及恢复方法进行分析,传统方法中的原始地址获取方式不仅存在Windows操作系统版本兼容性问题,而且代码逻辑复杂。针对该问题,提出一种通用算法,对Shadow SSDT原始地址获取方法进行改进,并设计了基址重定位方法,减少了代码量,有效提高了稳定性和兼容性。 展开更多

关键词 SHADOW ssdt win32k SYS SHADOW ssdt钩子Shadow ssdt恢复

下载PDF 职称材料

基于SSDT HOOK的恶意软件主动防御系统的设计与实现 被引量：1

8

作者 张文川 李明 黄元亮 《世界科技研究与发展》 CSCD 2010年第2期154-156,150,共4页

近年来,反恶意软件技术的研究主要禁锢于特征码扫描,很少对恶意软件主动防御技术进行深入的探讨和研究。该文基于SSDT HOOK技术,通过HOOK各个敏感Native API,实现了进程创建监控,驱动加载监控,远程线程监控,注册表访问监控,设计并完成... 近年来,反恶意软件技术的研究主要禁锢于特征码扫描,很少对恶意软件主动防御技术进行深入的探讨和研究。该文基于SSDT HOOK技术,通过HOOK各个敏感Native API,实现了进程创建监控,驱动加载监控,远程线程监控,注册表访问监控,设计并完成了一个基于Windows平台的完备的恶意软件主动防御系统—SimpHips,经过测试,能够成功拦截大部分恶意软件的执行。 展开更多

关键词 主动防御 HIPS ssdt HOOK 行为监控

原文传递

一种双重防范Rootkit的方法

9

作者 刘勇 江泽涛 +1 位作者 甘晟科 李克伟 《计算机与现代化》 2009年第2期98-101,共4页

提出了一种双层检测Rootkit的方法,通过对用户层的Rootkit和驱动层的Rootkit双层检测并结合现有的高效检测技术(Callstack技术),实现了一种全面高效的检测手段,从而减轻木马、病毒对计算机的危害,以达到防范更多的Root-kit。

关键词 ROOTKIT ssdt IAT HOOK inline HOOK

下载PDF 职称材料

Windows环境下Rootkit隐藏技术研究 被引量：1

10

作者 王东利 栾国森 朱堃 《电脑知识与技术》 2008年第S2期141-142,共2页

Rootkit是攻击者用来隐藏踪迹和保留访问权限、窃取密码、留下后门等的一组工具的集合,是一种危害性极大的特洛伊木马程序。深入研究Rootkit隐藏技术,有助于提高发现、检测和跟踪它的能力。本文针对Windows环境下的Rootkit隐藏技术进行... Rootkit是攻击者用来隐藏踪迹和保留访问权限、窃取密码、留下后门等的一组工具的集合,是一种危害性极大的特洛伊木马程序。深入研究Rootkit隐藏技术,有助于提高发现、检测和跟踪它的能力。本文针对Windows环境下的Rootkit隐藏技术进行了深入的分析和研究,并对相应的技术原理做了比较,展望了Rootkit隐藏技术的未来发展趋势。 展开更多

关键词 WINDOWS ROOTKIT 木马 隐藏技术 ssdt DKOM

下载PDF 职称材料

Windows系统下多种Rootkit隐藏方式分析以及探测方法研究

11

作者 张亚航 刘波 +2 位作者 韩啸 姜电波 靳远游 《信息网络安全》 2009年第5期51-54,共4页

在网络攻防中,系统攻击者最大的障碍,常常是作为系统安全守护者的安全防护软件。本文通过对Windows NT操作系统下Rootkit隐藏机制的研究,分别实现了修改进程调度表SSDT、直接修改内核对象DKOM和修改IRP等多种Rootkit实现技术,达到对抗... 在网络攻防中,系统攻击者最大的障碍,常常是作为系统安全守护者的安全防护软件。本文通过对Windows NT操作系统下Rootkit隐藏机制的研究,分别实现了修改进程调度表SSDT、直接修改内核对象DKOM和修改IRP等多种Rootkit实现技术,达到对抗安全软件的目的。本文针对不同的Rootkit实现技术进行了Rootkit检测技术的研究和实现。 展开更多

关键词 WINDOWS ROOTKIT ssdt DKOM IRP 检测技术

下载PDF 职称材料

SSDT内核钩子原理及检测程序的实现

12

作者 唐俊 《电脑编程技巧与维护》 2008年第13期11-13,共3页

钩子程序能够截获系统的输入、输出,SSDT是实现Windows平台内核钩子程序的一段关键数据结构。描述了SSDT的数据结构,SSDT钩子的工作原理,提出了SSDT钩子检测方法以及使用VisualC++实现了SSDT钩子检测程序。

关键词 ssdt 钩子函数 ROOTKIT

下载PDF 职称材料

UMTS系统软切换中下行功率分配问题研究 被引量：1

13

作者 张欣 李晶 常永宇 《武汉理工大学学报》 EI CAS CSCD 北大核心 2006年第3期103-106,共4页

软切换中的下行功率分配是UMTS系统中的一个关键问题,它将极大地影响系统的性能。提出了几种可以方便运用在UMTS系统的改进下行功率分配算法。与常规的功率分配方案相比,改进的算法可以减少系统的干扰;而与SSDT(Site Selective Diversit... 软切换中的下行功率分配是UMTS系统中的一个关键问题,它将极大地影响系统的性能。提出了几种可以方便运用在UMTS系统的改进下行功率分配算法。与常规的功率分配方案相比,改进的算法可以减少系统的干扰;而与SSDT(Site Selective Diversity Transmit,站址选择发射分集)相比,改进算法能够获得额外的宏分集增益。通过对这些功率分配算法进行仿真评估,结果显示称作可变相对门限的改进功率分配算法有最好的整体系统性能,并且特别适合运行在业务负载较高的UMTS系统中。 展开更多

关键词 功率分配 软切换 站址选择发射分集 快速小区选择 通用移动通信系统

下载PDF 职称材料

Windows NT下挂接SSDT隐藏进程的原理

14

作者 王玉红 《电子技术与软件工程》 2022年第16期156-159,共4页

本文介绍了Windows结构,分析了基于SSDT的进程隐藏原理,阐述了应用程序与驱动程序实现方法,进行了运行测试,希望能够为相关单位提供参考。

关键词 Windows NT 隐藏进程 ssdt

下载PDF 职称材料

经皮单步扩张技术在ICU患者中的应用 被引量：1

15

作者 刘梅红 左祥荣 《齐鲁护理杂志》 2014年第14期8-10,共3页

目的:探讨经皮单步扩张技术(SSDT)在ICU危重患者中的应用效果及护理方法。方法:将64例ICU气管插管机械通气需行气管切开患者随机分为对照组和观察组各32例,对照组采用外科气管切开术,观察组采用SSDT。比较两组手术情况、生命体征变化及... 目的:探讨经皮单步扩张技术(SSDT)在ICU危重患者中的应用效果及护理方法。方法:将64例ICU气管插管机械通气需行气管切开患者随机分为对照组和观察组各32例,对照组采用外科气管切开术,观察组采用SSDT。比较两组手术情况、生命体征变化及术后并发症。结果:两组手术情况、生命体征变化及术后并发症比较差异有统计学意义(P<0.05),观察组切口出血、切口溢痰及总发生率低于对照组(P<0.05)。结论:SSDT创伤小,操作时间短,并发症少,值得临床推广。 展开更多

关键词 气管切开术 经皮单步扩张技术 危重患者 护理

下载PDF 职称材料

一种获取Shadow SSDT服务函数原始地址的思路 被引量：1

16

作者 leminis 《黑客防线》 2009年第4期70-73,共4页

随着Hook SSDT的泛滥，Hook Shadow SSDT估计也已经是Windows驱动入门都要学的了。既然有Hook，对应的就要有恢复。要做恢复．第一个要做的就是需要知道SSDT或者Shadow SSDT服务函数原始地址。而获取服务函数原始地址．就需要读取SSDT或... 随着Hook SSDT的泛滥，Hook Shadow SSDT估计也已经是Windows驱动入门都要学的了。既然有Hook，对应的就要有恢复。要做恢复．第一个要做的就是需要知道SSDT或者Shadow SSDT服务函数原始地址。而获取服务函数原始地址．就需要读取SSDT或者Shadow SSDT对应的内核文件ntoskrnl．exe（这个根据自己机器而定）以及win32k．sys。 展开更多

关键词 编程 ssdt win32k.sys

原文传递

强制访问控制在Windows上实施框架的研究与改进

17

作者 陈徽 周学海 陈香兰 《计算机系统应用》 2010年第12期11-16,共6页

计算机技术发展至今,安全问题一直处于风头浪尖之中。目前针对安全问题,一些技术方法应运而生,主动防御,侦测与反侦测等,而且可以在系统中不同的层次上实现,应用层和内核层。而本文是在系统级别上进行探索,比如linux,现在已有成熟的安... 计算机技术发展至今,安全问题一直处于风头浪尖之中。目前针对安全问题,一些技术方法应运而生,主动防御,侦测与反侦测等,而且可以在系统中不同的层次上实现,应用层和内核层。而本文是在系统级别上进行探索,比如linux,现在已有成熟的安全版本selinux操作系统。针对Windows操作系统,对强制访问控制进行了相关研究,对系统的效率性,兼容性,稳定性等提出了改进方案。 展开更多

关键词 HOOK 强制访问控制 WINDOWS 系统安全 系统服务描述表

下载PDF 职称材料

破解剖析 磁碟机病毒

18

作者 Fahrenheit 《黑客防线》 2009年第1期9-20,共12页

NetApi000．sys是磁碟机从内部嵌入的映像写入到磁盘的，路径是C：＼NetApi000．sys。上文说过．病毒启动了它提供的服务．SREng对系统服务的检测结果如图1所示．多出了NetAPi000一项。现在我们就来分析它所提供的NetAPi000．SYS的作用。

关键词 病毒 磁碟机 ssdt

原文传递

Ring0中HOOK SSDT实现注册表监控

19

作者 感受生活 《黑客防线》 2008年第12期63-65,共3页

如今对于内核的研究真是如火如荼啊．随便翻开黑防的一篇编程解析的文章就是讲内核的．看来这真的代表了一个趋势。这次我也想跟大家说说关于内核态注册表防修改、删除的问题，还是有关SSDT的，希望能对大家有所帮助。

关键词 RING0 ssdt 注册表 操作系统

原文传递

Ring3下安全获取原始SSDT地址

20

作者 牵着蜗牛去散步 《黑客防线》 2008年第6期61-63,共3页

SSDT是系统服务描述符表的简称，在win NT内核的操作系统中，它储存着Native API相关信息，在Rootkit中HookSSDT是最常用的手法之一，常见的木马灰鸽子、PcShare或者说流氓软件雅虎助手、百度搜霸，甚至每台电脑安装的杀毒软件防火墙都... SSDT是系统服务描述符表的简称，在win NT内核的操作系统中，它储存着Native API相关信息，在Rootkit中HookSSDT是最常用的手法之一，常见的木马灰鸽子、PcShare或者说流氓软件雅虎助手、百度搜霸，甚至每台电脑安装的杀毒软件防火墙都离不开Hook SSDT。我在黑防三月份的杂志中讲解了如何在Ring 0驱动中用ZwQuerySystemlnformation枚举进程，如果需要检测出通过Hook SSDT隐藏的进程就需要获取原始的SSDT地址， 展开更多

关键词 编程 ssdt 驱动

原文传递