基于SSDT HOOK的恶意软件主动防御系统的设计与实现 被引量：1

1

作者 张文川 李明 黄元亮 《世界科技研究与发展》 CSCD 2010年第2期154-156,150,共4页

近年来,反恶意软件技术的研究主要禁锢于特征码扫描,很少对恶意软件主动防御技术进行深入的探讨和研究。该文基于SSDT HOOK技术,通过HOOK各个敏感Native API,实现了进程创建监控,驱动加载监控,远程线程监控,注册表访问监控,设计并完成... 近年来,反恶意软件技术的研究主要禁锢于特征码扫描,很少对恶意软件主动防御技术进行深入的探讨和研究。该文基于SSDT HOOK技术,通过HOOK各个敏感Native API,实现了进程创建监控,驱动加载监控,远程线程监控,注册表访问监控,设计并完成了一个基于Windows平台的完备的恶意软件主动防御系统—SimpHips,经过测试,能够成功拦截大部分恶意软件的执行。 展开更多

关键词 主动防御 HIPS ssdt hook 行为监控

原文传递

基于SSDT的病毒主动防御技术研究 被引量：8

2

作者 杨阿辉 陈鑫昕 《计算机应用与软件》 CSCD 2010年第10期288-290,297,共4页

随着互联网的高速发展,计算机的安全问题也越来越严峻,传统的被动防御技术已经无法应对目前的病毒攻击行为。主动防御技术是近几年出现的一个新的概念,它克服了传统防御技术的缺陷,是对付病毒攻击的有效方法。介绍了主动防御的概念,实... 随着互联网的高速发展,计算机的安全问题也越来越严峻,传统的被动防御技术已经无法应对目前的病毒攻击行为。主动防御技术是近几年出现的一个新的概念,它克服了传统防御技术的缺陷,是对付病毒攻击的有效方法。介绍了主动防御的概念,实施主动防御的必要性,以及基于SSDT主动防御技术的实现,最后对主动防御技术的发展趋势作出展望。 展开更多

关键词 主动防御 ssdt hook(钩子) 特征值

在线阅读 下载PDF 职称材料

恶意脚本程序研究以及基于API HOOK的注册表监控技术 被引量：8

3

作者 李珂泂 宁超 《计算机应用》 CSCD 北大核心 2009年第12期3197-3200,共4页

恶意脚本病毒具有自我复制、传播和破坏等行为,对当前计算机网络信息环境具有极大的危害性与破坏力。利用恶意脚本程序的一个重要特征(篡改用户注册表数据)对其进行监控,提出了一种基于API HOOK的注册表监控方案。该方案以注册表为监控... 恶意脚本病毒具有自我复制、传播和破坏等行为,对当前计算机网络信息环境具有极大的危害性与破坏力。利用恶意脚本程序的一个重要特征(篡改用户注册表数据)对其进行监控,提出了一种基于API HOOK的注册表监控方案。该方案以注册表为监控点,利用API HOOK技术,通过修改系统服务调度表中系统服务程序的入口地址,实现恶意脚本的检测与防范。该方案运用特定的逻辑和特征判断,可实现监控和保护注册表中用户特定的键值。 展开更多

关键词 恶意脚本 病毒 注册表 API hook 系统服务调度表

在线阅读 下载PDF 职称材料

基于SSDT恢复的反恶意代码技术 被引量：1

4

作者 陈萌 《计算机工程》 CAS CSCD 北大核心 2009年第21期128-130,共3页

通过修改系统服务调度表(SSDT),恶意代码可以避免被杀毒软件或反恶意软件清除。针对SSDT挂钩技术,通过系统文件重定位,实现基于SSDT恢复的反恶意代码技术,阐述Ntoskrnl.exe文件的重装方法和Ntoskrnl.exe文件偏移比较法。实验结果证明,... 通过修改系统服务调度表(SSDT),恶意代码可以避免被杀毒软件或反恶意软件清除。针对SSDT挂钩技术,通过系统文件重定位,实现基于SSDT恢复的反恶意代码技术,阐述Ntoskrnl.exe文件的重装方法和Ntoskrnl.exe文件偏移比较法。实验结果证明,该技术能使恶意代码和木马程序失效,保障系统安全。 展开更多

关键词 系统服务调度表 恶意软件 系统内核 挂钩

在线阅读 下载PDF 职称材料

SSDT内核钩子原理及检测程序的实现

5

作者 唐俊 《电脑编程技巧与维护》 2008年第13期11-13,共3页

钩子程序能够截获系统的输入、输出,SSDT是实现Windows平台内核钩子程序的一段关键数据结构。描述了SSDT的数据结构,SSDT钩子的工作原理,提出了SSDT钩子检测方法以及使用VisualC++实现了SSDT钩子检测程序。

关键词 ssdt 钩子函数 ROOTKIT

在线阅读 下载PDF 职称材料

一种通用的Shadow SSDT原始地址获取新方式 被引量：1

6

作者 霍亮 马恒太 张楠 《计算机应用与软件》 CSCD 北大核心 2014年第6期66-68,119,共4页

挂钩恢复是一项重要的安全技术。对Shadow系统服务描述表(SSDT)挂钩检测以及恢复方法进行分析,传统方法中的原始地址获取方式不仅存在Windows操作系统版本兼容性问题,而且代码逻辑复杂。针对该问题,提出一种通用算法,对Shadow SSDT原始... 挂钩恢复是一项重要的安全技术。对Shadow系统服务描述表(SSDT)挂钩检测以及恢复方法进行分析,传统方法中的原始地址获取方式不仅存在Windows操作系统版本兼容性问题,而且代码逻辑复杂。针对该问题,提出一种通用算法,对Shadow SSDT原始地址获取方法进行改进,并设计了基址重定位方法,减少了代码量,有效提高了稳定性和兼容性。 展开更多

关键词 SHADOW ssdt win32k SYS SHADOW ssdt钩子Shadow ssdt恢复

在线阅读 下载PDF 职称材料

一种基于交叉视图的Windows Rootkit检测方法 被引量：5

7

作者 陈晓苏 黄文超 肖道举 《计算机工程与科学》 CSCD 2007年第7期1-3,共3页

针对互联网上日益流行的Windows Rootkit程序的实现机制,本文分析了现有的检测方法,指出了其中可能存在的不足,在此基础上提出了一种基于交叉视图的Windows Rootkit检测方法,给出了基本检测思想以及具体实现步骤,讨论了其中关键检测步... 针对互联网上日益流行的Windows Rootkit程序的实现机制,本文分析了现有的检测方法,指出了其中可能存在的不足,在此基础上提出了一种基于交叉视图的Windows Rootkit检测方法,给出了基本检测思想以及具体实现步骤,讨论了其中关键检测步骤的处理过程,并通过一个有代表性的实例给出了实际的检测效果。 展开更多

关键词 ROOTKIT 隐藏 系统服务描述表 挂钩

在线阅读 下载PDF 职称材料

反rootkit的内核完整性检测与恢复技术 被引量：3

8

作者 吴坤鸿 乐宏彦 《计算机工程》 CAS CSCD 北大核心 2008年第21期129-131,共3页

针对rootkit恶意软件挂钩SystemServiceDispatchTable和使用内联函数补丁进行隐藏文件的原理,提出基于内核文件的完整性检测和恢复方法,结果证明了其能够确保系统获取文件等敏感信息的完整性。

关键词 rootkit软件 ssdt截持 内联函数补丁 完整性恢复

在线阅读 下载PDF 职称材料

基于内核驱动的恶意代码动态检测技术 被引量：9

9

作者 李伟 苏璞睿 《中国科学院研究生院学报》 CAS CSCD 北大核心 2010年第5期695-703,共9页

通过对Windows下的代码注入方法和Hook技术的详尽分析与研究,提出了一种基于内核驱动的恶意代码动态检测方法.该方法采用驱动的方式运行于系统内核中,在不影响系统性能的前提下,动态监控系统中所有进程,同时及时准确地向用户报告任何攻... 通过对Windows下的代码注入方法和Hook技术的详尽分析与研究,提出了一种基于内核驱动的恶意代码动态检测方法.该方法采用驱动的方式运行于系统内核中,在不影响系统性能的前提下,动态监控系统中所有进程,同时及时准确地向用户报告任何攻击信息,增强了系统的整体安全性.实验结果表明,该方法在性能和检测方面都达到较好的检测效果. 展开更多

关键词 hook技术 系统服务描述符表 系统服务表

原文传递

改进的隐藏进程检测查杀技术 被引量：2

10

作者 李湘宁 凌捷 《计算机工程与设计》 北大核心 2016年第11期2939-2943,共5页

提出一种隐藏进程检测和查杀技术。融合直接操作内核对象技术与Hook KiswapProcess技术的优点,克服前者不能检测采用调用门技术隐藏的进程的缺点,改善后者检测效率偏低的不足,通过Hook NtTerminateProcess函数结束隐藏进程并保护系统中... 提出一种隐藏进程检测和查杀技术。融合直接操作内核对象技术与Hook KiswapProcess技术的优点,克服前者不能检测采用调用门技术隐藏的进程的缺点,改善后者检测效率偏低的不足,通过Hook NtTerminateProcess函数结束隐藏进程并保护系统中重要进程,基于该方法设计实现一个的隐藏进程查杀系统。模拟实验结果表明,该系统能有效地检测并结束绕过操作系统进程管理器的隐藏进程,具有保护进程的能力,兼具效率高、消耗系统资源少等优点。 展开更多

关键词 直接操作内核对象 隐藏进程 钩挂系统服务描述表 多进程守护病毒

在线阅读 下载PDF 职称材料

基于挂接系统服务调度表的隐藏进程检测技术 被引量：1

11

作者 张清 牟永敏 《北京机械工业学院学报》 2008年第1期51-53,共3页

针对恶意软件躲避反恶意软件检测的进程隐藏技术,提出一种基于挂接系统服务调度表的进程检测方法,实现对隐藏进程的有效检测。通过挂接相应系统服务函数,在系统服务函数处理之前进行预处理,从而有效地防止了恶意软件通过拦截系统API函... 针对恶意软件躲避反恶意软件检测的进程隐藏技术,提出一种基于挂接系统服务调度表的进程检测方法,实现对隐藏进程的有效检测。通过挂接相应系统服务函数,在系统服务函数处理之前进行预处理,从而有效地防止了恶意软件通过拦截系统API函数的方式绕过进程检测。试验结果表明该检测方法是准确有效的。 展开更多

关键词 恶意软件 进程隐藏技术 系统服务调度表(ssdt) 挂接

在线阅读 下载PDF 职称材料

PE病毒感染行为重定向器设计与实现

12

作者 何弦庭 叶小平 黄耿星 《信息网络安全》 2013年第4期25-28,共4页

文章设计了一个小型系统,它能将PE病毒的感染行为重定向到目标文件副本,使其感染行为失败。实现该程序的意义是使系统目录下的文件不受PE病毒感染,以及监控被PE病毒感染后的目标文件副本。实验证明,系统文件在正常情况下不会被模拟PE病... 文章设计了一个小型系统,它能将PE病毒的感染行为重定向到目标文件副本,使其感染行为失败。实现该程序的意义是使系统目录下的文件不受PE病毒感染,以及监控被PE病毒感染后的目标文件副本。实验证明,系统文件在正常情况下不会被模拟PE病毒感染。 展开更多

关键词 PE病毒 Windows内核模式驱动 ssdt—hook

在线阅读 下载PDF 职称材料

一种双重防范Rootkit的方法

13

作者 刘勇 江泽涛 +1 位作者 甘晟科 李克伟 《计算机与现代化》 2009年第2期98-101,共4页

提出了一种双层检测Rootkit的方法,通过对用户层的Rootkit和驱动层的Rootkit双层检测并结合现有的高效检测技术(Callstack技术),实现了一种全面高效的检测手段,从而减轻木马、病毒对计算机的危害,以达到防范更多的Root-kit。

关键词 ROOTKIT ssdt IAT hook inline hook

在线阅读 下载PDF 职称材料

强制访问控制在Windows上实施框架的研究与改进

14

作者 陈徽 周学海 陈香兰 《计算机系统应用》 2010年第12期11-16,共6页

计算机技术发展至今,安全问题一直处于风头浪尖之中。目前针对安全问题,一些技术方法应运而生,主动防御,侦测与反侦测等,而且可以在系统中不同的层次上实现,应用层和内核层。而本文是在系统级别上进行探索,比如linux,现在已有成熟的安... 计算机技术发展至今,安全问题一直处于风头浪尖之中。目前针对安全问题,一些技术方法应运而生,主动防御,侦测与反侦测等,而且可以在系统中不同的层次上实现,应用层和内核层。而本文是在系统级别上进行探索,比如linux,现在已有成熟的安全版本selinux操作系统。针对Windows操作系统,对强制访问控制进行了相关研究,对系统的效率性,兼容性,稳定性等提出了改进方案。 展开更多

关键词 hook 强制访问控制 WINDOWS 系统安全 系统服务描述表

在线阅读 下载PDF 职称材料