基于文件过滤驱动的文件保护技术研究

对Windows系统下文件保护技术进行了研究,并对其实现的关键技术作了详细分析.基于文件过滤驱动的文件保护技术通过文件系统过滤驱动和数字标识的应用,可以实现对文件严格的访问控制,为文件提供如隐藏、加密、文件重定向等的个性化保护功能,保护数据的机密性、完整性和真实性,从而有效维护文件系统安全.     

基于内核对象的Windows Rootkit隐藏技术研究

RootKit是一组后门工具的集合,是特洛伊木马发展的高级阶段,其在特洛伊木马众多类别中危害最大,深入研究RootKit技术,做到网络攻防知己知彼,对防范木马攻击,减少网络破坏,保护重要信息有重要意义.文章详细介绍了基于内核对象的Windows Rootkit隐藏技术原理,总结了直接内核操作和内核对象内联挂接技术,实例分析了隐藏实现过程,表明了基于内核的隐藏技术达到了较好的隐藏效果,可以避开目前大多教检测工具的检测.     

基于直接内核对象操作的进程伪装保护方法

针对目前基于隐藏的进程保护方法容易被Rootkit检测工具检测出而失效的情况,提出了一种基于直接内核对象操作(DKOM)的进程伪装保护方法.该方法将进程隐藏方法中较为常用的DKOM技术与传统的伪装技术相结合,通过直接修改操作系统内核空间中存储进程相关信息的数据结构,使进程在任务管理器中显示为一些系统进程,以此达到保护进程的目的.进程信息的修改涉及内核的操作,由Windows驱动实现,该驱动兼容Windows 2000以上多个版本的操作系统,具有广泛适用性.实验结果显示,经过该方法修改后,进程查看工具查看到的进程信息与正常的系统进程没有差别.伪装效果较好,用户无法发觉,Rootkit检测工具也不会提示异常.验证了基于DKOM的进程伪装保护方法的有效性.     

一种内核级Rootkit侦测方法

本文在简单阐述了Rootkit隐藏的机制后,提出了一种侦测Rootkit隐藏的算法。最后演示了直接遍历内核活动进程列表(ActiveProcessList)和内核调度者ETHREAD列表来侦测隐藏的Rootkit。该方法还能通过遍历内核的PsLoadedModuleList来侦测出通过挂钩本机API函数ZwQuerySystemInformationy隐藏的内核模块和内核驱动。     

基于虚拟机的Rootkit技术研究

随着安全检测软件深入到系统内核,传统的内核级Rootkit逐渐丧失了隐藏自身和控制系统的优势.但是一种利用虚拟机技术的虚拟机Rootkit又一次打破了平衡,它试图在虚拟化环境下躲避检测,并控制目标系统.本文将介绍两种在不同虚拟化环境下的Roorkit的实现方式.     

一种新的注册表隐藏Rootkit检测方案

为了检测通过篡改注册表文件而实现潜行于操作系统的Rootkit,分析了常见的Rootkit注册表隐藏技术以及相应的检测技术,并指出了当前检测技术存在的缺陷.在分析注册表文件的格式以及注册表操作控制流程的基础上,设计并实现了一种新型的注册表隐藏Rootkit检测方案.通过模拟win32系统底层枚举注册表键值的流程,获取真实有效的注册表键值,从而检测出隐藏的Root-kit.同时,在遍历注册表键值时使用了二叉搜索树算法以提高检测效率.试验表明该方法能准确并快速地检测出使用了注册表隐藏技术的Rootkit.     

基于劫持内核入口点的隐藏进程检测方法

针对现有的隐藏进程检测方法存在易规避、兼容性差、对操作系统性能影响较大等问题,提出了一种基于劫持内核入口点的隐藏进程检测方法. 该方法根据进程与内核交互的行为特征,劫持用户态进入内核态的3类入口:KiFastCallEntry、IDT和GDT,通过语义重构建立内核态进程列表,结合交叉视图检测隐藏进程. 实验表明,与其他进程检测方法相比,该方法可以检测目前各种Rootkit隐藏进程方法;支持多种Windows操作系统版本,且对操作系统的性能影响较小;准确性高,兼容性好,实用价值高.      

Rookit木马的隐藏机理与检测技术剖析

随着网络技术的发展，基于传统隐藏技术的木马已经很难生存，木马隐藏技术开始由Ring 3级转入Ring 0级．运行在Ring 0级的木马，拥有与系统核心同等级的权限，隐藏与伪装更为容易．笔者讨论了Windows内核系统服务调用机制，分析了删除进程双向链表中的进程对象、SSDT内核挂钩注册表隐藏、端口隐藏等Rootkit木马的隐藏机理，最后对Rookit木马的几种检测技术作了详细的剖析．研究内容对增强人们防患意识、更好地维护计算机系统的安全有一定的参考价值．     

基于分层驱动的Windows内核rootkit关键技术

研究了基于Windows操作系统分层驱动技术的内核rootkit,阐述了rootkit如何加入分层驱动程序链,并从IRP中获取数据以及自我隐藏技术,最后讨论了rootkit的检测技术.     

高可靠In-VM隐藏进程对抗检测方法

通过隐藏进程执行恶意代码是信息攻击的一种重要手段,目前虚拟化平台中In-VM隐藏进程检测方法还存在被绕过和相关数据被篡改的可能性,针对这一问题,提出了一种高可靠In-VM隐藏进程对抗检测方法.该方法利用In-VM模型,通过改进虚拟化内存保护机制保护隐藏进程检测代码及其相关内核数据,确保其不被恶意篡改;通过准确劫持系统调用函数,并结合交叉视图方法检测隐藏进程,确保隐藏进程的检测算法无法被绕过.实验选取并构建多种典型的Rootkit隐藏进程,结果表明,该方法可以检测各种Rootkit隐藏进程,其隐藏进程检测代码及其相关数据无法被恶意篡改,检测算法和内存保护机制无法被绕过,而且改进的虚拟化内存保护机制对系统的性能影响更小,方法的可靠性高,实用价值大.      

μClinux2.4.17中添加SATA硬盘控制器驱动的方法研究

大部分开源的嵌入式操作系统内核中已经添加了对SATA硬盘控制器sil3114驱动的支持,而一些老版本的内核不支持SATA硬盘控制器.根据实际项目需求,本文采用驱动移植的方法,根据内核的编译原理,生成二进制内核文件,实现了在实时操作系统μClinux2.4.17中添加sil3114的驱动.经测试,该内核可以很好的支持SATA硬盘运行.     

基于过滤器驱动程序的文件保护系统软件设计

在公用计算机普及的今天,保护数据文件的安全问题日益突出。防止文件破坏,就必须对系统的输入输出请求进行监控和拦截,基于过滤器驱动程序的文件保护方法安全高效,维护方便,成本低廉,可扩展性强,且与设备无关。文章就Windows2000/xp平台下实现这一技术进行了论述。     

基于STM32F103的电子相框的设计

基于STM32F103的电子相框系统读取SD卡中的图像文件通过LCD屏幕将其显示。系统主要由SD驱动、LCD驱动和功能控制模块组成。SD驱动主要由SD接口驱动程序、FAT文件操作程序组成;LCD驱动主要由LCD屏驱动芯片的驱动程序和图片显示程序组成;功能控制模块包括了系统初始化,显示的时间、显示方式的设置,驱动程序调用等功能,功能控制模块是系统的主模块。在介绍了文件系统与图像操作的基础上逐步说明了整个系统的实现。文件系统支持FAT16/32,图像系统支持BMP等多种文件格式。整个系统的设计以模块化为基础,易于升级。     

运用Hook技术实现的软件防火墙

提出利用Hook系统核心函数方法来实现软件防火墙．操作系统在加载NDIS驱动程序时，将NDIS协议特征结构表中的API函数映射到内存中．通过在内存中定位这些API地址，按照PE格式将导出表中的函数地址替换成自定义的函数地址，在操作系统调用系统自身API函数前，先进行自定义函数的处理，实现对数据包的过滤．     

Building Hot Snapshot Copy Based on Windows File System

This paper describes a method for building hot snapshot copy based on windows-file system （HSCF）. The architecture and running mechanism of HSCF are discussed after giving a comparison with other on-line backup tecbnology. HSCF, based on a file system filter driver, protects computer data and ensures their integrity and consistency with following three steps： access to open files, synchronization and copy on-write. Its strategies for improving system performance are analyzed including priority setting, incremental snapshot and load balance. HSCF is a new kind of snapshot technology to solve the data integrity and consistency problem in online backup, which is different from other storage-level snapshot and Open File Solution.     

一种局域网分布式文件系统的设计与实现

介绍了基于局域网的分布式ＵＮＩＸ操作系统（ＨＺＤＵＮＩＸ）中分布式文件系统的设计与实现技术．ＨＺＤＵＮＩＸ分布式文件系统主要集中于对ＵＮＩＸ内核的改造,提供本地及远地文件操作一体化的接口,采用基于代理的分布式文件服务技术,有较快的响应速度,从而较好地实现了透明性,并支持原ＵＮＩＸ大多数ＳＨＥＬＬ命令     

基于IOAPIC重定位表修改策略的键盘过滤技术

设计了一种基于Windows操作系统下的键盘过滤技术。该技术采用WDM驱动框架和IOAPIC重定位表修改技术,可以对用户通过键盘输入的信息进行实时保护。该技术依赖内核驱动程序的最高权限,有效的防止木马程序对用户输入信息的窃取。将其与nProtect密码保护技术进行对比实验,实验结果显示该方法具有比nProtect技术更加底层的防护范围。     

一种硬件虚拟化技术的Rootkit及其检测

硬件虚拟化技术的出现使得程序员在x86平台上构建虚拟机的方法更加简单,同时也为Rootkit的研究提供了新的平台。硬件虚拟化技术的Rootkit(HVM Rootkit)的出现对计算机信息安全领域提出了新的挑战。为了研究这种新的Rootkit技术,介绍了硬件虚拟化技术和HVM Ro-otkit的工作机制,在此基础上对HVM Rootkit的键盘过滤和网络传输功能进行设计和实现,展示攻击者如何利用HVM Rootkit对用户计算机造成的安全威胁,对HVM Rootkit的检测问题进行分析,讨论HVM Rootkit的进一步研究方向。     

基于CAS的媒体存储技术的研究

为了解决媒体存储和内容管理面临的问题,提出了一种新的媒体存储技术———媒体内容寻址存储(mCAS).mCAS是一种创新的基于内容寻址存储(CAS)和元数据技术的集成解决方案.mCAS对媒体对象进行Hash计算得到固定长度的数字代替文件名,并将Hash和基于MPEG-7的元数据组成一个标准格式的XML文件,称为摘要文件,摘要文件提供一个媒体对象的数字清单和内容清单,既便于媒体文件基于内容的存取,又便于多个媒体应用程序进行数据交换.mCAS原型系统由CAS驱动程序、MPEG-7工具和Web服务器组成,其中CAS驱动程序实现存储空间管理和分配、hash计算和与块的映射,MPEG-7工具实现基于内容的元数据提取,Web服务器实现内容检索.mCAS实现了对象存储技术和内容管理技术的结合,适合于对巨大的视听内容进行数字归档,可提高存储系统的搜索性能和效率.对CAS驱动程序进行了性能测试,结果表明:CAS的文件获取性能比文件服务器相比性能更好,CAS的性能高达10.7 Mbit/s.