10.15918/j.tbit1001-0645.2015.05.021
基于劫持内核入口点的隐藏进程检测方法
针对现有的隐藏进程检测方法存在易规避、兼容性差、对操作系统性能影响较大等问题,提出了一种基于劫持内核入口点的隐藏进程检测方法.该方法根据进程与内核交互的行为特征,劫持用户态进入内核态的3类入口:KiFastCallEntry、IDT和GDT,通过语义重构建立内核态进程列表,结合交叉视图检测隐藏进程.实验表明,与其他进程检测方法相比,该方法可以检测目前各种Rootkit隐藏进程方法;支持多种Windows操作系统版本,且对操作系统的性能影响较小;准确性高,兼容性好,实用价值高.
隐藏进程检测、交叉视图、Rootkit、隐藏进程
35
TP399(计算技术、计算机技术)
北京理工大学科技创新计划重大项目2011CX01015;国家“二四二”计划项目2005C48
2015-07-31(万方平台首次上网日期,不代表论文的发表时间)
545-550
