Detecting Compromised Kernel Hooks with Support of Hardware Debugging Features 被引量：3

1

作者 Shi Wenchang Zhou HongWei +1 位作者 Yuan JinHui Liang Bin 《China Communications》 SCIE CSCD 2012年第10期78-90,共13页

Although there exist a few good schemes to protect the kernel hooks of operating systems, attackers are still able to circumvent existing defense mechanisms with spurious context infonmtion. To address this challenge,... Although there exist a few good schemes to protect the kernel hooks of operating systems, attackers are still able to circumvent existing defense mechanisms with spurious context infonmtion. To address this challenge, this paper proposes a framework, called HooklMA, to detect compromised kernel hooks by using hardware debugging features. The key contribution of the work is that context information is captured from hardware instead of from relatively vulnerable kernel data. Using commodity hardware, a proof-of-concept pro- totype system of HooklMA has been developed. This prototype handles 3 082 dynamic control-flow transfers with related hooks in the kernel space. Experiments show that HooklMA is capable of detecting compomised kernel hooks caused by kernel rootkits. Performance evaluations with UnixBench indicate that runtirre overhead introduced by HooklMA is about 21.5%. 展开更多

关键词 operating system kernel hook integrity HARDWARE control flow

在线阅读 下载PDF 职称材料

OPKH: A Lightweight Online Approach to Protecting Kernel Hooks in Kernel Modules

2

作者 田东海 李轩涯 +1 位作者 胡昌振 闫怀志 《China Communications》 SCIE CSCD 2013年第11期15-23,共9页

Kernel hooks are very important con- trol data in OS kernel. Once these data are com- promised by attackers, they can change the control flow of OS kemel＇s execution. Previ- ous solutions suffer from limitations in t... Kernel hooks are very important con- trol data in OS kernel. Once these data are com- promised by attackers, they can change the control flow of OS kemel＇s execution. Previ- ous solutions suffer from limitations in that： 1） some methods require modifying the source code of OS kernel and kernel modules, which is less practical for wide deployment; 2） other methods cannot well protect the kernel hooks and function return addresses inside kernel mo- dules whose memory locations cannot be pre- determined. To address these problems, we propose OPKH, an on-the-fly hook protection system based on the virtualization technology. Compared with previous solutions, OPKH off- ers the protected OS a fully transparent envi- ronment and an easy deployment. In general, the working procedure of OPKH can be di- vided into two steps. First, we utilise the me- mory virtualization for offiine profiling so that the dynamic hooks can be identified. Second, we exploit the online patching technique to in- strument the hooks for run-time protection. The experiments show that our system can pro- tect the dynamic hooks effectively with mini- mal performance overhead. 展开更多

关键词 kernel hook virtualization tech-nology online patching

在线阅读 下载PDF 职称材料

试论Windows网络数据包NDIS Hook拦截技术 被引量：1

3

作者 付长春 王军 《计算机与数字工程》 2006年第12期196-199,共4页

随着互联网的飞速发展,网络攻击和安全防护技术日益受到关注。本文从实际应用的角度出发,介绍了W in-dows系统下多种网络数据包拦截技术,重点给出了目前广泛使用的基于核心层的ND IS Hook封包过滤技术细节。

关键词 驱动 应用层 核心层 NDIS TDI hook API

在线阅读 下载PDF 职称材料

基于Linux的最新防火墙技术的研究 被引量：6

4

作者 唐宁 金连甫 陈平 《计算机应用研究》 CSCD 北大核心 2002年第12期76-78,共3页

Linux2.4内核下防火墙Iptables是以Netfilter为基础实现的。Netfilter是一种内核中用于扩展各种网络服务的结构化底层框架。深入研究了开放代码Linux2.4.18内核下防火墙Iptables实现的关键部分Netfilter架构,从Netfilter与IP层相对关系... Linux2.4内核下防火墙Iptables是以Netfilter为基础实现的。Netfilter是一种内核中用于扩展各种网络服务的结构化底层框架。深入研究了开放代码Linux2.4.18内核下防火墙Iptables实现的关键部分Netfilter架构,从Netfilter与IP层相对关系,到钩子和下挂函数的数据结构,注册和注销下挂函数的管理方法,如何启动钩子来检测IP包,全面剖析了Netfilter的实现细节。研究最终服务于软件研发,为自己的嵌入式防火墙产品的设计和开发提供一个新的设计思路,也为底层开发者利用Netfilter架构实现Linux内核下其它协议族的防火墙提供了便利。 展开更多

关键词 LINUX 防火墙 钩子 计算机网络 下挂函数

在线阅读 下载PDF 职称材料

Windows下系统服务Rootkits的检测与恢复 被引量：7

5

作者 龙海 郝东白 黄皓 《计算机工程与设计》 CSCD 北大核心 2008年第7期1612-1615,共4页

Rootkits是入侵者隐藏踪迹和保留访问权限的工具集。修改操作系统内核的Rootkit称之为内核Rootkit,使操作系统本身变得不可信任,造成极大的安全隐患。针对系统服务的Rootkits是内核中最常见的Rootkits。分析了当前Windows下系统服务各种... Rootkits是入侵者隐藏踪迹和保留访问权限的工具集。修改操作系统内核的Rootkit称之为内核Rootkit,使操作系统本身变得不可信任,造成极大的安全隐患。针对系统服务的Rootkits是内核中最常见的Rootkits。分析了当前Windows下系统服务各种Rootkits,提出了一种利用驱动程序,无需符号文件的检测和修复方法,能准确检测出Windows下各种系统服务Rootkits并且进行恢复。 展开更多

关键词 后门 内核 钩子 系统服务 重定位

在线阅读 下载PDF 职称材料

基于新型VMI技术的内核Rootkit检测方案 被引量：2

6

作者 陈进 夏虞斌 臧斌宇 《计算机应用与软件》 CSCD 2015年第7期266-271,共6页

随着互联网的发展,当今社会对于信息安全的关注度越来越高。内核级Rootkit能够隐藏自身及恶意软件,对系统安全产生了严重威胁。现有基于虚拟化技术的内核Rootkit检测方案主要针对系统静态Hook进行检测和保护,对基于动态Hook的攻击行为... 随着互联网的发展,当今社会对于信息安全的关注度越来越高。内核级Rootkit能够隐藏自身及恶意软件,对系统安全产生了严重威胁。现有基于虚拟化技术的内核Rootkit检测方案主要针对系统静态Hook进行检测和保护,对基于动态Hook的攻击行为缺乏有效的分析和防御手段。为了解决上述问题,设计并实现了一种基于新型VMI(Virtual Machine Introspection)的检测内核Rootkit的通用系统,对内核静态和动态Hook都能够进行检测和保护。实验表明,系统成功检测出内核级Rootkit对于内核Hook的攻击和篡改,对大量常见的内核Rootkit都有效,同时对于基于动态Hook的攻击行为也能够及时报警,能够有效增强系统对于Rootkit的检测能力。 展开更多

关键词 内核Rootkits 内核hook 虚拟机自省 系统安全

在线阅读 下载PDF 职称材料

统一可扩展固件接口攻击方法研究 被引量：10

7

作者 唐文彬 祝跃飞 陈嘉勇 《计算机工程》 CAS CSCD 2012年第13期99-101,111,共4页

通过分析统一可扩展固件接口(UEFI)的体系架构和执行流程,发现由于未对加载的可扩展固件接口(EFI)驱动和应用程序进行校验,导致其存在安全隐患,并相应提出3种UEFI的攻击方法,即感染OS Loader、篡改NVRAM变量和插入EFI runtime driver。... 通过分析统一可扩展固件接口(UEFI)的体系架构和执行流程,发现由于未对加载的可扩展固件接口(EFI)驱动和应用程序进行校验,导致其存在安全隐患,并相应提出3种UEFI的攻击方法,即感染OS Loader、篡改NVRAM变量和插入EFI runtime driver。分析结果表明,这3种方法都能实现操作系统内核劫持。 展开更多

关键词 统一可扩展固件接口 安全性分析 hook技术 内核劫持

在线阅读 下载PDF 职称材料

基于Windows200x的WDM体系的IP过滤实现技术 被引量：1

8

作者 廖永红 李洛 黄战 《计算机工程与设计》 CSCD 北大核心 2007年第22期5425-5427,共3页

基于内容的IP包过滤技术涉及到操作系统的内核态技术。通过对比用户态及内核态的特征,分析了Windows内核态的网络编程接口,采用了WDM的驱动程序模式体系及NDIS的层次架构。遵循IRP(I/O request packet)规范,实现了具有Miniport和Protoco... 基于内容的IP包过滤技术涉及到操作系统的内核态技术。通过对比用户态及内核态的特征,分析了Windows内核态的网络编程接口,采用了WDM的驱动程序模式体系及NDIS的层次架构。遵循IRP(I/O request packet)规范,实现了具有Miniport和Protocol层的中间驱动程序,并透明钩挂,截取、分析IP包。具体给出了Windows 200X系统中实现IP包过滤的编程技术方案。 展开更多

关键词 包过滤 驱动模式 网络驱动接口规范 过滤钩挂 内核态

在线阅读 下载PDF 职称材料

基于进程防火墙与虚拟盘的非法信息流过滤方法 被引量：5

9

作者 张雪峰 周顺先 《微型机与应用》 2013年第20期51-53,56,共4页

提出一种在虚拟磁盘中对文件映像前后的访问进程进行监控并对非法信息流进行过滤的方法。该方法在关键字或特征信息提取过程中安装各种钩子并对接入主机进行审计,用来提高系统服务器的包转发速率与非法信息的捕捉能力。其目的是阻止病... 提出一种在虚拟磁盘中对文件映像前后的访问进程进行监控并对非法信息流进行过滤的方法。该方法在关键字或特征信息提取过程中安装各种钩子并对接入主机进行审计,用来提高系统服务器的包转发速率与非法信息的捕捉能力。其目的是阻止病毒或木马程序对文件破坏或数据包劫持,保证信息接入的可控性和安全性。实验测试表明,系统降低了包转发时延,提高了包转发速率和非法信息的识别能力。 展开更多

关键词 网络信息安全 进程防火墙 虚拟磁盘技术 非法信息流 内核钩子 过滤代价

在线阅读 下载PDF 职称材料

利用核心态钩挂技术防止代码注入攻击 被引量：8

10

作者 朱若磊 《计算机应用》 CSCD 北大核心 2006年第9期2134-2136,共3页

为防止代码注入攻击,利用钩挂技术来监视有关的API函数调用十分必要。由于W indows NT系统中存在着严格的进程隔离机制,此种钩挂要在核心态下才有效。提出并讨论了实现此种技术的一种简便的方法。实践表明,在W indows XP系统条件下,利... 为防止代码注入攻击,利用钩挂技术来监视有关的API函数调用十分必要。由于W indows NT系统中存在着严格的进程隔离机制,此种钩挂要在核心态下才有效。提出并讨论了实现此种技术的一种简便的方法。实践表明,在W indows XP系统条件下,利用它能够成功阻止木马利用代码注入实现攻击。 展开更多

关键词 代码注入 钩挂 核心态

在线阅读 下载PDF 职称材料

Windows内核级Rootkits隐藏技术的研究 被引量：10

11

作者 龚广 李舟军 +2 位作者 忽朝俭 邹蕴珂 李智鹏 《计算机科学》 CSCD 北大核心 2010年第4期59-62,共4页

随着Rootkits技术在信息安全领域越来越受到重视,各种Anti-rootkits新技术不断出现。在各种Anti-root-kits工具的围剿下,常规的Rootkits隐藏技术难以遁形。在系统分析和深入研究传统内核级Rootkits隐藏技术的基础上,提出了一个集驱动模... 随着Rootkits技术在信息安全领域越来越受到重视,各种Anti-rootkits新技术不断出现。在各种Anti-root-kits工具的围剿下,常规的Rootkits隐藏技术难以遁形。在系统分析和深入研究传统内核级Rootkits隐藏技术的基础上,提出了一个集驱动模块整体移位、内核线程注入、IRP深度内联Hook 3种技术为一体的Rootkits隐藏技术体系。实验结果显示,基于该隐藏技术体系所实现的Rootkits能够很好地躲避专业的Anti-rootkits工具(如Rootkit Unhooker和冰刃)的检测,从而充分表明了这种三位一体的Rootkits隐藏技术体系的有效性。 展开更多

关键词 ROOTKITS Anti—rootkits 驱动模块整体移位 内核线程注入 IRP深度内联hook

在线阅读 下载PDF 职称材料

基于LSM框架构建Linux安全模块 被引量：4

12

作者 吴娴 钱培德 《计算机工程与设计》 CSCD 北大核心 2008年第24期6281-6284,共4页

操作系统安全是信息安全的一个重要方向。Linux安全模块(LSM)为Linux操作系统内核支持多个安全模块提供了有力的支持。首先介绍了LSM的实现机制,详细分析了它的关键技术。然后,以一个具体的安全模块为例,描述了如何使用LSM机制在Linux... 操作系统安全是信息安全的一个重要方向。Linux安全模块(LSM)为Linux操作系统内核支持多个安全模块提供了有力的支持。首先介绍了LSM的实现机制,详细分析了它的关键技术。然后,以一个具体的安全模块为例,描述了如何使用LSM机制在Linux操作系统中完成一个简单的安全模块的开发。介绍了安全模型构建的过程,并对它的安全性进行了讨论。使用LSM框架可以使得操作系统灵活的支持和采用各种不同的安全策略,提高系统的安全性。 展开更多

关键词 操作系统安全 LINUX内核 LINUX安全模块 钩子函数 安全策略

在线阅读 下载PDF 职称材料

Windows Rootkit隐藏技术研究 被引量：14

13

作者 杨彦 黄皓 《计算机工程》 CAS CSCD 北大核心 2008年第12期152-153,156,共3页

Rootkit是恶意软件用于隐藏自身及其他特定资源和活动的程序集合。该文分析和研究现有的针对Windows系统的代表性Rookit隐藏技术,将其总结为2类:通过修改系统内核对象数据实现隐藏和通过修改程序执行路径实现隐藏。说明并比较了相应的... Rootkit是恶意软件用于隐藏自身及其他特定资源和活动的程序集合。该文分析和研究现有的针对Windows系统的代表性Rookit隐藏技术,将其总结为2类:通过修改系统内核对象数据实现隐藏和通过修改程序执行路径实现隐藏。说明并比较了相应的技术原理,展望了Rootkit隐藏技术未来的发展趋势。 展开更多

关键词 WINDOWS ROOTKIT技术 hook技术 系统内核 系统调用 中断描述符表

在线阅读 下载PDF 职称材料

基于SSDT恢复的反恶意代码技术 被引量：1

14

作者 陈萌 《计算机工程》 CAS CSCD 北大核心 2009年第21期128-130,共3页

通过修改系统服务调度表(SSDT),恶意代码可以避免被杀毒软件或反恶意软件清除。针对SSDT挂钩技术,通过系统文件重定位,实现基于SSDT恢复的反恶意代码技术,阐述Ntoskrnl.exe文件的重装方法和Ntoskrnl.exe文件偏移比较法。实验结果证明,... 通过修改系统服务调度表(SSDT),恶意代码可以避免被杀毒软件或反恶意软件清除。针对SSDT挂钩技术,通过系统文件重定位,实现基于SSDT恢复的反恶意代码技术,阐述Ntoskrnl.exe文件的重装方法和Ntoskrnl.exe文件偏移比较法。实验结果证明,该技术能使恶意代码和木马程序失效,保障系统安全。 展开更多

关键词 系统服务调度表 恶意软件 系统内核 挂钩

在线阅读 下载PDF 职称材料

Windows内核恶意代码分析与检测技术研究 被引量：6

15

作者 左黎明 《计算机技术与发展》 2008年第9期145-147,共3页

Windows内核恶意代码是指能够通过改变Windows执行流程或者改变内核审计和簿记系统所依赖的数据结构等手段以达到隐藏自身,实现恶意功能的程序或程序集,对操作系统安全造成很大的危害。对近年来基于NT内核的微软Windows操作系统下恶意... Windows内核恶意代码是指能够通过改变Windows执行流程或者改变内核审计和簿记系统所依赖的数据结构等手段以达到隐藏自身,实现恶意功能的程序或程序集,对操作系统安全造成很大的危害。对近年来基于NT内核的微软Windows操作系统下恶意代码主要的隐藏实现技术(包括对进程函数、注册表函数、SSDT等的HOOK行为)进行了深入分析研究,提出了一些具有实用价值的恶意代码检测技术方案。实践表明文中提出的恶意代码分析检测技术在实际中具有积极的指导意义。 展开更多

关键词 内核 恶意代码 NATIVE API hook

在线阅读 下载PDF 职称材料

基于Linux内核2.6的进程拦截机制的研究和实现 被引量：2

16

作者 王全民 胡大海 +1 位作者 许殊玮 盛涛 《微计算机信息》 2012年第9期13-15,共3页

阐述了Linux 2.6内核工作原理。研究了进程的创建、执行过程以及在内核中的运行方式。在分析windows进程拦截机制的基础上,提出了一种基于Linux的进程拦截方案:建立一个可执行文件和命令的"白名单",在进程调用execve()执行时... 阐述了Linux 2.6内核工作原理。研究了进程的创建、执行过程以及在内核中的运行方式。在分析windows进程拦截机制的基础上,提出了一种基于Linux的进程拦截方案:建立一个可执行文件和命令的"白名单",在进程调用execve()执行时进行过滤,达到拦截未知进程的目的。最后编程验证了该方法的有效性。 展开更多

关键词 进程 进程拦截 过滤 hook kernel 2.6

在线阅读 下载PDF 职称材料

基于LSM的进程行为监控技术研究 被引量：1

17

作者 王赛娇 陈新登 +1 位作者 李宗伯 尹虹 《计算机工程与科学》 CSCD 2006年第8期36-39,共4页

LSM是一款支持多种安全策略的、为Linux内核开发的轻量级通用访问控制框架,这种访问控制框架能使各类访问控制模型作为动态内核模块执行。本文简要介绍了LSM的相关背景和设计思想,讨论了LSM的具体实例,并介绍了我们的设计方案。

关键词 LSM 钩子函数 访问控制 可装载动态内核模块

在线阅读 下载PDF 职称材料

基于动态追踪技术侦测API钩挂 被引量：2

18

作者 朱若磊 《计算机工程与设计》 CSCD 北大核心 2010年第15期3363-3366,共4页

作为构筑各类应用基础的API函数的执行通常要历经用户状态和核心状态的多个模块,环节众多,很容易受到不安全模块的HOOK攻击,严重威胁整个系统的安全。针对此问题,提出了动态跟踪API函数执行流程,并结合搜索到的模块信息,确定执行流程中... 作为构筑各类应用基础的API函数的执行通常要历经用户状态和核心状态的多个模块,环节众多,很容易受到不安全模块的HOOK攻击,严重威胁整个系统的安全。针对此问题,提出了动态跟踪API函数执行流程,并结合搜索到的模块信息,确定执行流程中是否存在钩挂模块的方法。系统测试结果表明,该方法能够有效地追踪到从发起函数调用到内核系统服务调用所经历的模块信息,为确保API函数的安全运行奠定了良好的基础。 展开更多

关键词 API函数 钩挂 用户态 核心态 动态跟踪

在线阅读 下载PDF 职称材料

基于行为的隐私保护系统关键技术研究

19

作者 王健 叶延婷 +1 位作者 胡丰琪 涂孝颖 《信息网络安全》 2013年第9期77-80,共4页

随着信息技术的发展,个人信息安全也遭受到前所未有的威胁,各种病毒、木马通过采用内核技术等底层手段达到隐藏自身、破坏系统的目的。文章对基于行为的隐私保护系统中的相关关键技术进行了阐述,探讨采用系统底层驱动技术对各种病毒、... 随着信息技术的发展,个人信息安全也遭受到前所未有的威胁,各种病毒、木马通过采用内核技术等底层手段达到隐藏自身、破坏系统的目的。文章对基于行为的隐私保护系统中的相关关键技术进行了阐述,探讨采用系统底层驱动技术对各种病毒、木马可能采用的技术手段进行针对性处理,达到发现安全隐患、监控未知威胁、保护系统安全的目的。 展开更多

关键词 内核钩子 过滤驱动 计算机病毒 文件系统

在线阅读 下载PDF 职称材料

利用核心态注入技术的防沉迷系统的研究

20

作者 朱若磊 《西南师范大学学报（自然科学版）》 CAS CSCD 北大核心 2011年第4期147-152,共6页

Windows系统中,大量安全产品的存在,使得众多基于进程监控的客户端反沉迷软件面临严峻的生存环境,它们经常被当作非安全软件而遭到查杀.对此,提出了一种通过在系统核心空间对API函数的执行进行全局钩挂拦截并结合调用门的设计与使用,实... Windows系统中,大量安全产品的存在,使得众多基于进程监控的客户端反沉迷软件面临严峻的生存环境,它们经常被当作非安全软件而遭到查杀.对此,提出了一种通过在系统核心空间对API函数的执行进行全局钩挂拦截并结合调用门的设计与使用,实现对活动进程的监控的方法.系统测试表明,采用该方法实现的反沉迷监控系统能够与安全产品和平共处,具有较强的健壮性. 展开更多

关键词 进程监控 反沉迷 核心态 全局钩挂 调用门

在线阅读 下载PDF 职称材料