检索结果-内蒙古大学图书馆

随着rootkit技术的发展,病毒程序设计者趋于利用rootkit技术来隐藏他们的非法行为,从而达到自己的目的。虽然目前存在各种各样的检测windows rootkit的工具,但这些工具只能检测某些特定的rootkit,无法检测到一些新型的windows rootkit病毒。本文提出了一个新的、基于windows内核对象的rootkit检测技术方法,该方法能够检测到目前windows环境下的大多数rootkit病毒。该方法的基本原理就是通过扫描、检测windows操作系统内核中的关键的内核对象,如:中断描述符表(IDT)、系统服务描述符表(SSDT)、重要PE(Portable Executive)文件、有关记录进程信息的数据结构等等,并对这些内核对象进行更深入、更全面的保护。基于本文提出的windows rootkit检测的研究成果,作者设计了一个新型windows rootkit检测工具,该工具是目前最全面的windows rootkit检测工具。它可以检测IDT/SYSENTER hook、SSDT hook、Inline hook、IAT/EAT hook、驱动函数hook,以及检测隐藏端口信息、隐藏文件信息和隐藏进程信息。论文的主要工作如下: 1、对windows rootkit技术的历史背景、定义、分类进行了综述,并详细分析了windows rootkit的各种实现技术,包括:中断描述符表、内核修补技术、PE文件分析。 2、研究了现有的各种windows rootkit检测方法。利用这些检测方法对几种著名的windows rootkit以及目前的rootkit技术进行检测,然后对检测情况作了简要的评述,指出了现有检测方法的缺陷以及需要改进之处。 3、提出了一种基于windows内核对象的rootkit检测方案,以全面、有效地检测各种现有的windows rootkit。windows内核对象包括:windows系统内核架构对象、windows系统内核PE文件对象、基于windows系统内核功能对象。 a)基于windows系统内核架构对象的rootkit检测就是对内核架构各层的检测使用综合的检测方法。例如不将inline hook的检测方法仅仅局限于SSDT表里的函数,而是扩展到凡是有内核函数地址调用的情况,都需要进行inline hook检测。 b)基于windows系统内核PE文件对象的rootkit检测方法是检测hook点的内容是否与PE文件相应的地址处的内容相匹配。 c)基于windows系统内核功能对象的rootkit检测方法就是依靠系统中大多数相关内核功能对象来检测相关rootkit。 4、基于本文提出的检测方案,作者实现了一个windows rootkit的检测工具***,该工具可以全面的、准确的检测目前所有流行的windows rootkit。本文的研究工作对windows rootkit的检测方法提供了比较完整的分析和总结,所提出的基于内核对象检测方法,弥补了现有检测方法的不足,可以有效的检测出各种windows rootkit.

关键词： windows rootkit 内核对象系统服务描述符表进程端口文件

来源：评论

学校读者我要写书评

暂无评论

建议与咨询留下您的常用邮箱和电话号码，以便我们向您反馈解决方案和替代方法

时间限定

文献类型

馆藏选择

核心期刊

语言

文献类型

帮助

文字说明：

检索规则说明：

检索范例：

分类表

所选分类

限定检索结果

文献类型

馆藏范围

日期分布

学科分类号

主题

机构

作者

语言

请选择保存的检索档案：

请选择收藏分类：

通借通还

建议与咨询 留下您的常用邮箱和电话号码，以便我们向您反馈解决方案和替代方法

时间限定

文献类型

馆藏选择

核心期刊

语言

文献类型

帮助

文字说明：

检索规则说明：

检索范例：

分类表

所选分类

限定检索结果

文献类型

馆藏范围

日期分布

学科分类号

主题

机构

作者

语言

请选择保存的检索档案： 新增检索档案 确定 取消

请选择收藏分类： 新增自定义分类 确定 取消

通借通还

建议与咨询留下您的常用邮箱和电话号码，以便我们向您反馈解决方案和替代方法

请选择保存的检索档案：

请选择收藏分类：