一种通用的Shadow SSDT原始地址获取新方式 被引量：1

1

作者 霍亮 马恒太 张楠 《计算机应用与软件》 CSCD 北大核心 2014年第6期66-68,119,共4页

挂钩恢复是一项重要的安全技术。对Shadow系统服务描述表(SSDT)挂钩检测以及恢复方法进行分析,传统方法中的原始地址获取方式不仅存在Windows操作系统版本兼容性问题,而且代码逻辑复杂。针对该问题,提出一种通用算法,对Shadow SSDT原始... 挂钩恢复是一项重要的安全技术。对Shadow系统服务描述表(SSDT)挂钩检测以及恢复方法进行分析,传统方法中的原始地址获取方式不仅存在Windows操作系统版本兼容性问题,而且代码逻辑复杂。针对该问题,提出一种通用算法,对Shadow SSDT原始地址获取方法进行改进,并设计了基址重定位方法,减少了代码量,有效提高了稳定性和兼容性。 展开更多

关键词 SHADOW ssdt win32k SYS SHADOW ssdt钩子Shadow ssdt恢复

在线阅读 下载PDF 职称材料

基于SSDT的病毒主动防御技术研究 被引量：8

2

作者 杨阿辉 陈鑫昕 《计算机应用与软件》 CSCD 2010年第10期288-290,297,共4页

随着互联网的高速发展,计算机的安全问题也越来越严峻,传统的被动防御技术已经无法应对目前的病毒攻击行为。主动防御技术是近几年出现的一个新的概念,它克服了传统防御技术的缺陷,是对付病毒攻击的有效方法。介绍了主动防御的概念,实... 随着互联网的高速发展,计算机的安全问题也越来越严峻,传统的被动防御技术已经无法应对目前的病毒攻击行为。主动防御技术是近几年出现的一个新的概念,它克服了传统防御技术的缺陷,是对付病毒攻击的有效方法。介绍了主动防御的概念,实施主动防御的必要性,以及基于SSDT主动防御技术的实现,最后对主动防御技术的发展趋势作出展望。 展开更多

关键词 主动防御 ssdt HOOK(钩子) 特征值

在线阅读 下载PDF 职称材料

二次跳转的SSDT钩挂及其检测方法研究 被引量：3

3

作者 何耀彬 李祥和 韩卓 《计算机工程与应用》 CSCD 2012年第6期102-105,共4页

对传统SSDT钩挂(SSDT_Hook)及其检测方法进行了分析,同时分析了一种经过了二次跳转的SSDT钩挂方法。该方法使用了MOV指令跳转到可信任地址空间,再二次跳转到恶意代码中,突破了传统主动防御系统的JMP指令检测法和指令跳转分析法。最后,... 对传统SSDT钩挂(SSDT_Hook)及其检测方法进行了分析,同时分析了一种经过了二次跳转的SSDT钩挂方法。该方法使用了MOV指令跳转到可信任地址空间,再二次跳转到恶意代码中,突破了传统主动防御系统的JMP指令检测法和指令跳转分析法。最后,给出了一种针对该SSDT_Hook的检测方法,重点对传统检测方法中的SSDT寻址方法进行了改进,取得了较好的效果。 展开更多

关键词 ssdt钩挂 可信任地址空间 KeServiceDescriptorTable 二次跳转

在线阅读 下载PDF 职称材料

SSDT内核钩子原理及检测程序的实现

4

作者 唐俊 《电脑编程技巧与维护》 2008年第13期11-13,共3页

钩子程序能够截获系统的输入、输出,SSDT是实现Windows平台内核钩子程序的一段关键数据结构。描述了SSDT的数据结构,SSDT钩子的工作原理,提出了SSDT钩子检测方法以及使用VisualC++实现了SSDT钩子检测程序。

关键词 ssdt 钩子函数 ROOTKIT

在线阅读 下载PDF 职称材料

基于SSDT及回调函数的键盘记录方法 被引量：7

5

作者 陈俊杰 施勇 +1 位作者 薛质 陈欣 《计算机工程》 CAS CSCD 北大核心 2010年第11期120-122,共3页

当前反键盘记录技术更新迅速,且传统键盘记录方法存在较多缺陷。针对该现状,提出一种新型的键盘记录方法。该方法基于Shadow系统服务描述表(SSDT)及底层回调函数,关联用户模式和内核模式,可以突破目前主流的反键盘记录手段,同时稳定性... 当前反键盘记录技术更新迅速,且传统键盘记录方法存在较多缺陷。针对该现状,提出一种新型的键盘记录方法。该方法基于Shadow系统服务描述表(SSDT)及底层回调函数,关联用户模式和内核模式,可以突破目前主流的反键盘记录手段,同时稳定性高、通用性好、隐蔽性强。 展开更多

关键词 键盘记录 回调函数 Shadow系统服务描述表 主动防御

在线阅读 下载PDF 职称材料

基于SSDT恢复的反恶意代码技术 被引量：1

6

作者 陈萌 《计算机工程》 CAS CSCD 北大核心 2009年第21期128-130,共3页

通过修改系统服务调度表(SSDT),恶意代码可以避免被杀毒软件或反恶意软件清除。针对SSDT挂钩技术,通过系统文件重定位,实现基于SSDT恢复的反恶意代码技术,阐述Ntoskrnl.exe文件的重装方法和Ntoskrnl.exe文件偏移比较法。实验结果证明,... 通过修改系统服务调度表(SSDT),恶意代码可以避免被杀毒软件或反恶意软件清除。针对SSDT挂钩技术,通过系统文件重定位,实现基于SSDT恢复的反恶意代码技术,阐述Ntoskrnl.exe文件的重装方法和Ntoskrnl.exe文件偏移比较法。实验结果证明,该技术能使恶意代码和木马程序失效,保障系统安全。 展开更多

关键词 系统服务调度表 恶意软件 系统内核 挂钩

在线阅读 下载PDF 职称材料

SSDT UnHook在USB标识系统中的应用研究

7

作者 于欣 李京 +2 位作者 关悦 董燕明 苑博 《电脑编程技巧与维护》 2015年第6期17-18,32,共3页

讲述了SSDT UnHook的基本方法，并针对某USB标识系统给出了驱动和应用层部分的主要代码，实际使用中达到了预期效果。

关键词 ssdt UnHook技术 驱动 C#技术

在线阅读 下载PDF 职称材料

Windows NT下挂接SSDT隐藏进程的原理

8

作者 王玉红 《电子技术与软件工程》 2022年第16期156-159,共4页

本文介绍了Windows结构,分析了基于SSDT的进程隐藏原理,阐述了应用程序与驱动程序实现方法,进行了运行测试,希望能够为相关单位提供参考。

关键词 Windows NT 隐藏进程 ssdt

在线阅读 下载PDF 职称材料

SSDT挂钩:基于Windows内核的RootKit技术样本 被引量：6

9

作者 刘邦明 邬浙艳 孙黉杰 《网络安全技术与应用》 2009年第3期62-64,共3页

NT操作系统结构是Windows操作系统稳定性和安全性的基石,该结构分层为用户层(User Mode)和内核层(Kernel Mode)。内核层享有操作系统非常高的操作权限和自由度,其暴露的系统服务描述符表(SSDT)具有可修改性,是SSDT挂钩机制实现的基础;... NT操作系统结构是Windows操作系统稳定性和安全性的基石,该结构分层为用户层(User Mode)和内核层(Kernel Mode)。内核层享有操作系统非常高的操作权限和自由度,其暴露的系统服务描述符表(SSDT)具有可修改性,是SSDT挂钩机制实现的基础;而系统服务函数所在内核组件模块的不可深入性,导致目前检测和清除SSDT挂钩尚有较大难度。本文研究SSDT挂钩机制对深入理解和应用RootKit技术具有典型意义。 展开更多

关键词 ssdt HOOK I WINDOWS内核 ROOTKIT NATIVE API

原文传递

基于SSDT HOOK的恶意软件主动防御系统的设计与实现 被引量：1

10

作者 张文川 李明 黄元亮 《世界科技研究与发展》 CSCD 2010年第2期154-156,150,共4页

近年来,反恶意软件技术的研究主要禁锢于特征码扫描,很少对恶意软件主动防御技术进行深入的探讨和研究。该文基于SSDT HOOK技术,通过HOOK各个敏感Native API,实现了进程创建监控,驱动加载监控,远程线程监控,注册表访问监控,设计并完成... 近年来,反恶意软件技术的研究主要禁锢于特征码扫描,很少对恶意软件主动防御技术进行深入的探讨和研究。该文基于SSDT HOOK技术,通过HOOK各个敏感Native API,实现了进程创建监控,驱动加载监控,远程线程监控,注册表访问监控,设计并完成了一个基于Windows平台的完备的恶意软件主动防御系统—SimpHips,经过测试,能够成功拦截大部分恶意软件的执行。 展开更多

关键词 主动防御 HIPS ssdt HOOK 行为监控

原文传递

一种获取Shadow SSDT服务函数原始地址的思路 被引量：1

11

作者 leminis 《黑客防线》 2009年第4期70-73,共4页

随着Hook SSDT的泛滥，Hook Shadow SSDT估计也已经是Windows驱动入门都要学的了。既然有Hook，对应的就要有恢复。要做恢复．第一个要做的就是需要知道SSDT或者Shadow SSDT服务函数原始地址。而获取服务函数原始地址．就需要读取SSDT或... 随着Hook SSDT的泛滥，Hook Shadow SSDT估计也已经是Windows驱动入门都要学的了。既然有Hook，对应的就要有恢复。要做恢复．第一个要做的就是需要知道SSDT或者Shadow SSDT服务函数原始地址。而获取服务函数原始地址．就需要读取SSDT或者Shadow SSDT对应的内核文件ntoskrnl．exe（这个根据自己机器而定）以及win32k．sys。 展开更多

关键词 编程 ssdt win32k.sys

原文传递

Hook SSDT战冰刃

12

作者 小华子 《黑客防线》 2009年第1期79-81,共3页

冰刃对于自身的保护．在于NtOpenProcess和NtTerminateProcess进行了Inline Hook，要将它结束的思路可以是将冰刃Inline Hook的函数重新改回原来的字节!这样，冰刃的自身保护就失效了!如何通过对SSDT的hook让冰刃关闭呢？众所周知，如... 冰刃对于自身的保护．在于NtOpenProcess和NtTerminateProcess进行了Inline Hook，要将它结束的思路可以是将冰刃Inline Hook的函数重新改回原来的字节!这样，冰刃的自身保护就失效了!如何通过对SSDT的hook让冰刃关闭呢？众所周知，如果想更好的保护自身程序，SSDT hook和Inline hook选择其一的话． 展开更多

关键词 冰刃 ssdt Inline HOOK

原文传递

Ring0中HOOK SSDT实现注册表监控

13

作者 感受生活 《黑客防线》 2008年第12期63-65,共3页

如今对于内核的研究真是如火如荼啊．随便翻开黑防的一篇编程解析的文章就是讲内核的．看来这真的代表了一个趋势。这次我也想跟大家说说关于内核态注册表防修改、删除的问题，还是有关SSDT的，希望能对大家有所帮助。

关键词 RING0 ssdt 注册表 操作系统

原文传递

Ring3下安全获取原始SSDT地址

14

作者 牵着蜗牛去散步 《黑客防线》 2008年第6期61-63,共3页

SSDT是系统服务描述符表的简称，在win NT内核的操作系统中，它储存着Native API相关信息，在Rootkit中HookSSDT是最常用的手法之一，常见的木马灰鸽子、PcShare或者说流氓软件雅虎助手、百度搜霸，甚至每台电脑安装的杀毒软件防火墙都... SSDT是系统服务描述符表的简称，在win NT内核的操作系统中，它储存着Native API相关信息，在Rootkit中HookSSDT是最常用的手法之一，常见的木马灰鸽子、PcShare或者说流氓软件雅虎助手、百度搜霸，甚至每台电脑安装的杀毒软件防火墙都离不开Hook SSDT。我在黑防三月份的杂志中讲解了如何在Ring 0驱动中用ZwQuerySystemlnformation枚举进程，如果需要检测出通过Hook SSDT隐藏的进程就需要获取原始的SSDT地址， 展开更多

关键词 编程 ssdt 驱动

原文传递

也谈SSDT Hook

15

作者 Fireworm 《黑客防线》 2009年第3期111-112,共2页

关于SSDT，黑防已经发表过很多相关的文章了，但是Delphi下的实现方法似乎还没人提到过。本文就将和大家一起探讨这方面的内容。

关键词 编程 HOOK ssdt

原文传递

Delphi下还原SSDT

16

作者 Fireworm 《黑客防线》 2009年第3期123-124,共2页

上期文章中讲到了Delphi下SSDT的Hook方法，但有毒药也得有解药，能够进行Hook，也要能够进行脱钩还原才行。黑防以前的杂志对于VC和DDK组合进行还原的代码已经写了不少了，但是使用Delphi和DDDK（或者KmdKit4D）的组合还没有提到过，... 上期文章中讲到了Delphi下SSDT的Hook方法，但有毒药也得有解药，能够进行Hook，也要能够进行脱钩还原才行。黑防以前的杂志对于VC和DDK组合进行还原的代码已经写了不少了，但是使用Delphi和DDDK（或者KmdKit4D）的组合还没有提到过，下面我们就来一起研究下用DDDK还原SSDT。 展开更多

关键词 编程 ssdt HOOK

原文传递

构造自己的“SSDT”绕过主动防御

17

作者 liuke_blue 《黑客防线》 2010年第7期352-354,共3页

SSDT想必大家都已经很熟悉，它就是Windows系统服务描述符表，这是将Ring3下的系统API函数和RingO系统API函数相互联系起来的一条重要通道。不管是杀毒软件的主动防御还是病毒木马所用到的Rootkit技术都对SSDT进行争夺来达到相应目的。

关键词 ssdt 主动防御

原文传递

基于行为分析的主动防御技术及其脆弱性研究 被引量：9

18

作者 罗晓波 王开建 徐良华 《计算机应用与软件》 CSCD 2009年第7期269-271,共3页

主动防御技术的出现弥补了传统的病毒扫描技术和防火墙技术的不足,给计算机系统提供了更加严密的保护。首先阐述了基于行为分析的主动防御技术的原理和实现,然后从几个方面对其脆弱性进行了分析,并研究了突破这种主动防御系统的可行性,... 主动防御技术的出现弥补了传统的病毒扫描技术和防火墙技术的不足,给计算机系统提供了更加严密的保护。首先阐述了基于行为分析的主动防御技术的原理和实现,然后从几个方面对其脆弱性进行了分析,并研究了突破这种主动防御系统的可行性,最后提出了一些方法来增强主动防御。 展开更多

关键词 主动防御 病毒扫描 防火墙 挂钩 ssdt

在线阅读 下载PDF 职称材料

Windows环境木马进程隐藏技术研究 被引量：21

19

作者 卢立蕾 文伟平 《信息网络安全》 2009年第5期35-37,46,共4页

本文介绍了在Windows环境下特洛伊木马常用的进程隐藏技术,结合实际,详细分析了利用系统服务方式、动态嵌入方式、SSDT Hook和DKOM技术实现进程隐藏的基本原理,对如何防御和检测木马具有一定的参考意义。

关键词 木马 进程 隐藏 系统服务 动态嵌入 ssdt HOOK DKOM

在线阅读 下载PDF 职称材料

反rootkit的内核完整性检测与恢复技术 被引量：3

20

作者 吴坤鸿 乐宏彦 《计算机工程》 CAS CSCD 北大核心 2008年第21期129-131,共3页

针对rootkit恶意软件挂钩SystemServiceDispatchTable和使用内联函数补丁进行隐藏文件的原理,提出基于内核文件的完整性检测和恢复方法,结果证明了其能够确保系统获取文件等敏感信息的完整性。

关键词 rootkit软件 ssdt截持 内联函数补丁 完整性恢复

在线阅读 下载PDF 职称材料