带DKOM技术的软件加壳方案 被引量：1

1

作者 骆剑锋 陈伟东 《计算机应用与软件》 CSCD 2010年第11期169-171,共3页

介绍一个在一般软件加壳方案上补充了随机及防跟踪的方法,并且针对现加壳技术的不足(忽略了解壳后的保护)而提出采用DKOM技术,它可以对正在执行的软件进程的信息进行隐藏,以防破解者趁软件在内存中运行时,把对应的内存进行转存成软件文件。

关键词 dkom技术 EPROCESS数据结构 Hash值 MD5算法 内核API函数

在线阅读 下载PDF 职称材料

Windows 7 SP1下DKOM防攻击技术研究

2

作者 尹亮 文伟平 《信息网络安全》 2011年第7期23-25,共3页

Windows在内存中存储了一些记账信息,用于管理进程、线程、设备驱动程序等对象,并报告给用户,向用户反映系统的运行状况。由于这些信息位于内存中,因此可以直接对其进行修改。文章以微软公司最新的操作系统Windows7SP1为平台,揭示了Wind... Windows在内存中存储了一些记账信息,用于管理进程、线程、设备驱动程序等对象,并报告给用户,向用户反映系统的运行状况。由于这些信息位于内存中,因此可以直接对其进行修改。文章以微软公司最新的操作系统Windows7SP1为平台,揭示了Windows7SP1为进程、线程、驱动等对象建立的一系列结构体和链表,并提出了几种方法,通过修改这些结构体和链表,达到保护、隐藏进程和驱动的目的。 展开更多

关键词 dkom ROOTKIT 进程隐藏 进程保护 驱动隐藏

在线阅读 下载PDF 职称材料

再谈DKOM及其另类应用

3

作者 Hovi．Delphic 《黑客防线》 2009年第10期125-126,74,共3页

DK0M，直译就是“直接内核对象操作”，即通过直接修改内核数据来达到我们的某些目的。一提起DKOM．大多人的第一印象就是它能用于“进程的隐藏和防杀”。隐藏进程最经典的方法就是断链，防杀就是修改诸如ApcQueueable之类的位置。当然... DK0M，直译就是“直接内核对象操作”，即通过直接修改内核数据来达到我们的某些目的。一提起DKOM．大多人的第一印象就是它能用于“进程的隐藏和防杀”。隐藏进程最经典的方法就是断链，防杀就是修改诸如ApcQueueable之类的位置。当然，这些都是老黄历了．这里就不多说了。一般修改内核数据的驱动代码如下： 展开更多

关键词 编程 dkom 进程保护

原文传递

Windows环境木马进程隐藏技术研究 被引量：21

4

作者 卢立蕾 文伟平 《信息网络安全》 2009年第5期35-37,46,共4页

本文介绍了在Windows环境下特洛伊木马常用的进程隐藏技术,结合实际,详细分析了利用系统服务方式、动态嵌入方式、SSDT Hook和DKOM技术实现进程隐藏的基本原理,对如何防御和检测木马具有一定的参考意义。

关键词 木马 进程 隐藏 系统服务 动态嵌入 SSDT HOOK dkom

在线阅读 下载PDF 职称材料

Windows RootKit进程隐藏与检测技术的研究

5

作者 刘正宏 《中国现代教育装备》 2011年第9期24-26,共3页

目前木马制造者趋于利用RootKit技术来隐藏它们的进程,危害信息与网络安全。重点从用户和内核两种模式深入剖析了Windows RootKit隐藏进程技术,并提出基于进程表的综合检测机制。测试证明:只有从用户和内核两种模式下应用多种进程表检... 目前木马制造者趋于利用RootKit技术来隐藏它们的进程,危害信息与网络安全。重点从用户和内核两种模式深入剖析了Windows RootKit隐藏进程技术,并提出基于进程表的综合检测机制。测试证明:只有从用户和内核两种模式下应用多种进程表检测技术,才是安全检测隐藏进程更为有效的方法。 展开更多

关键词 WINDOWS ROOTKIT 远程线程注入 dkom 进程表

在线阅读 下载PDF 职称材料

Windows环境下Rootkit隐藏技术研究 被引量：1

6

作者 王东利 栾国森 朱堃 《电脑知识与技术》 2008年第S2期141-142,共2页

Rootkit是攻击者用来隐藏踪迹和保留访问权限、窃取密码、留下后门等的一组工具的集合,是一种危害性极大的特洛伊木马程序。深入研究Rootkit隐藏技术,有助于提高发现、检测和跟踪它的能力。本文针对Windows环境下的Rootkit隐藏技术进行... Rootkit是攻击者用来隐藏踪迹和保留访问权限、窃取密码、留下后门等的一组工具的集合,是一种危害性极大的特洛伊木马程序。深入研究Rootkit隐藏技术,有助于提高发现、检测和跟踪它的能力。本文针对Windows环境下的Rootkit隐藏技术进行了深入的分析和研究,并对相应的技术原理做了比较,展望了Rootkit隐藏技术的未来发展趋势。 展开更多

关键词 WINDOWS ROOTKIT 木马 隐藏技术 SSDT dkom

在线阅读 下载PDF 职称材料

Windows系统下多种Rootkit隐藏方式分析以及探测方法研究

7

作者 张亚航 刘波 +2 位作者 韩啸 姜电波 靳远游 《信息网络安全》 2009年第5期51-54,共4页

在网络攻防中,系统攻击者最大的障碍,常常是作为系统安全守护者的安全防护软件。本文通过对Windows NT操作系统下Rootkit隐藏机制的研究,分别实现了修改进程调度表SSDT、直接修改内核对象DKOM和修改IRP等多种Rootkit实现技术,达到对抗... 在网络攻防中,系统攻击者最大的障碍,常常是作为系统安全守护者的安全防护软件。本文通过对Windows NT操作系统下Rootkit隐藏机制的研究,分别实现了修改进程调度表SSDT、直接修改内核对象DKOM和修改IRP等多种Rootkit实现技术,达到对抗安全软件的目的。本文针对不同的Rootkit实现技术进行了Rootkit检测技术的研究和实现。 展开更多

关键词 WINDOWS ROOTKIT SSDT dkom IRP 检测技术

在线阅读 下载PDF 职称材料

Windows server 2008服务器进程隐藏机制的研究与实现 被引量：1

8

作者 袁源 《数字技术与应用》 2013年第3期110-110,112,共2页

本论文研究了目前出现的各种进程隐藏技术,并利用WDM驱动编程验证了DKOM技术,详细介绍了在Windows Server 2008服务器平台上搭建驱动开发环境的方法和这种技术的实现过程,并最终模拟了服务器系统中的进程隐藏过程。在研究过程中利用Win... 本论文研究了目前出现的各种进程隐藏技术,并利用WDM驱动编程验证了DKOM技术,详细介绍了在Windows Server 2008服务器平台上搭建驱动开发环境的方法和这种技术的实现过程,并最终模拟了服务器系统中的进程隐藏过程。在研究过程中利用WinDBG分析了重要的内核函数的实现机理,并查找了未公开的内核数据结构的定义。同时,本论文在实现进程隐藏的基础上,进一步实现了驱动程序模块的隐藏,更加真实的模拟了高危病毒运行的过程以及病毒对服务器所带来的安全隐患。在测试阶段,本论文公选用了Windows资源管理器、Process、EF ProcessManager、Antiy ports、Process Viewer、proscan六种主流的进程查看工具分别进行进程隐藏验证。结果表明,DKOM机制能够躲过以上所有工具,完美地隐藏自身。 展开更多

关键词 进程隐藏 WINDOWS SERVER 2008 dkom技术WDM驱动编程

在线阅读 下载PDF 职称材料

基于直接内核对象操作的进程伪装保护方法 被引量：6

9

作者 蓝智灵 宋宇波 唐磊 《东南大学学报（自然科学版）》 EI CAS CSCD 北大核心 2013年第1期24-29,共6页

针对目前基于隐藏的进程保护方法容易被Rootkit检测工具检测出而失效的情况,提出了一种基于直接内核对象操作(DKOM)的进程伪装保护方法.该方法将进程隐藏方法中较为常用的DKOM技术与传统的伪装技术相结合,通过直接修改操作系统内核空间... 针对目前基于隐藏的进程保护方法容易被Rootkit检测工具检测出而失效的情况,提出了一种基于直接内核对象操作(DKOM)的进程伪装保护方法.该方法将进程隐藏方法中较为常用的DKOM技术与传统的伪装技术相结合,通过直接修改操作系统内核空间中存储进程相关信息的数据结构,使进程在任务管理器中显示为一些系统进程,以此达到保护进程的目的.进程信息的修改涉及内核的操作,由Windows驱动实现,该驱动兼容Windows 2000以上多个版本的操作系统,具有广泛适用性.实验结果显示,经过该方法修改后,进程查看工具查看到的进程信息与正常的系统进程没有差别.伪装效果较好,用户无法发觉,Rootkit检测工具也不会提示异常.验证了基于DKOM的进程伪装保护方法的有效性. 展开更多

关键词 直接内核对象操作 进程伪装 进程保护

在线阅读 下载PDF 职称材料

基于直接操作内核对象的进程隐藏技术研究 被引量：6

10

作者 潘茂如 曹天杰 《计算机工程》 CAS CSCD 北大核心 2010年第18期138-140,共3页

分析直接操作内核对象和调用门的实现机制,提出通过使用调用门,在无驱动情况下提升用户程序的特权级,进而修改内核中的进程双向链表实现进程隐藏。设计并实现一个基于该思路的木马程序,在实验条件下验证该木马的隐蔽性和存活能力,分析... 分析直接操作内核对象和调用门的实现机制,提出通过使用调用门,在无驱动情况下提升用户程序的特权级,进而修改内核中的进程双向链表实现进程隐藏。设计并实现一个基于该思路的木马程序,在实验条件下验证该木马的隐蔽性和存活能力,分析应对该类型木马的检测策略。实验证明,该木马可以有效实现进程隐藏,躲过常见安全防护软件的检测与查杀。 展开更多

关键词 木马 直接操作内核对象 调用门 进程隐藏

在线阅读 下载PDF 职称材料

改进的隐藏进程检测查杀技术 被引量：2

11

作者 李湘宁 凌捷 《计算机工程与设计》 北大核心 2016年第11期2939-2943,共5页

提出一种隐藏进程检测和查杀技术。融合直接操作内核对象技术与Hook KiswapProcess技术的优点,克服前者不能检测采用调用门技术隐藏的进程的缺点,改善后者检测效率偏低的不足,通过Hook NtTerminateProcess函数结束隐藏进程并保护系统中... 提出一种隐藏进程检测和查杀技术。融合直接操作内核对象技术与Hook KiswapProcess技术的优点,克服前者不能检测采用调用门技术隐藏的进程的缺点,改善后者检测效率偏低的不足,通过Hook NtTerminateProcess函数结束隐藏进程并保护系统中重要进程,基于该方法设计实现一个的隐藏进程查杀系统。模拟实验结果表明,该系统能有效地检测并结束绕过操作系统进程管理器的隐藏进程,具有保护进程的能力,兼具效率高、消耗系统资源少等优点。 展开更多

关键词 直接操作内核对象 隐藏进程 钩挂系统服务描述表 多进程守护病毒

在线阅读 下载PDF 职称材料

VB编程保护进程

12

作者 Hovi．Delphic 《黑客防线》 2009年第10期82-84,共3页

黑防的很多人都喜欢用HOOK底层函数的方式来保护进程，但如果我们没有深厚的底层编程经验，而且只会一点VB，又想做到像江民那样的进程保护，怎么办呢？其实条条大路通罗马，我们不能HOOK．就进行DKOM（直接内核对象操作）!

关键词 编程 dkom 进程保护

原文传递