基于行为监控的木马检测系统研究及实现

为了检测木马型病毒,分析了现有木马检测措施,设计并实现了一个基于行为监控的木马检测系统,介绍了该系统的软件结构和运行机制,描述了基于Winsock2 SPI和NDIS HOOK的网络通信检测技术、基于内核调度监控的进(线)程检测技术.测试表明,该系统能准确识别出被检测程序在安装阶段、启动阶段和网络通信阶段的行为.     

一种全新的木马自启动方案

总结传统的木马自启动方式。分析其优缺点，提出利用操作系统服务加载木马程序的全新木马自启动方案。实验证明，新加载方案有效避免被检测及杀毒软件发现，提高木马在启动方面的隐藏技术。     

Rookit木马的隐藏机理与检测技术剖析

随着网络技术的发展，基于传统隐藏技术的木马已经很难生存，木马隐藏技术开始由Ring 3级转入Ring 0级．运行在Ring 0级的木马，拥有与系统核心同等级的权限，隐藏与伪装更为容易．笔者讨论了Windows内核系统服务调用机制，分析了删除进程双向链表中的进程对象、SSDT内核挂钩注册表隐藏、端口隐藏等Rootkit木马的隐藏机理，最后对Rookit木马的几种检测技术作了详细的剖析．研究内容对增强人们防患意识、更好地维护计算机系统的安全有一定的参考价值．     

基于行为特征库的木马检测模型设计

目前木马检测的主流技术主要是特征码检测技术,而该技术提取特征码滞后,无法检测未知新型木马.为了更好的检测新型木马,详细归纳总结木马的行为特征,同时在此基础上提取木马通适性行为特征,构建木马行为特征库,设计了基于行为特征库的木马检测模型,并应用模糊模式识别方法判断木马程序.通过实验证明此模型可以对可疑程序的行为特征进行分析判断,较准确地识别木马程序.该检测模型是对基于特征码检测技术的强有力补充,在新型木马不断涌现的今天,基于木马行为特征检测技术具有重要的应用意义.     

主动防御，实现杀防一体化

近几年，病毒发展和以往有了很大不同：感染型病毒减少，而木马数量暴增；病毒与杀毒软件公开对抗，免杀方法层出不穷；木马呈现牟利化趋势。其中牟利化是病毒发展核心原因，正因病毒研发目的由早期技术验证转向了谋取利益，促使黑客开发新木马并主动研发免杀技术以躲避杀毒软件的查杀，实现其经济利益最大化目的。     

基于SPI技术漏洞的新型木马的防范方法

目的防范基于SPI技术漏洞的新型木马。方法从SPI技术原理出发分析新型木马利用SPI技术实现隐藏的机制,找出一种新型木马的检测和清除方法。结果提出了一套完整的针对基于SPI技术的新型木马的防御方案,并详细描述了其实现。结论这种确实可行的周期比较法,可以对新型木马实施半自动清除。     

木马技术发展的新趋势探讨

自1986年第1个木马产生至今,木马已经成为计算机安全的主要威胁,伴随着计算机技术迅速的发展,木马的编程技术和手段也不断地翻新,主要有反弹端口型木马,基于SPI的DLL木马,基于嗅探原理的原始套接字(Socket)木马、Rootkit型木马技术.这些技术帮助木马制作者逃避杀毒软件的追杀和防火墙的拦截,严重地威胁着当今互联网络的安全.     

现代计算机木马的攻击与防御

本文阐述了木马的起源及其破坏性，主要研究了木马的攻击原理。主要包括入侵的步骤：配置木马；传播木马；运行木马；建立连接；远程控制。经过分析可以有针对性的对木马进行有效的防御。有效的防御方法可以减少木马对用户的破坏。     

木马攻击与防御技术探究

木马攻击是最常见的网络攻击手段之一,它对网络环境中的信息资源造成了巨大的危害。本文在介绍了木马攻击技术的基础上,有针对性的提出了木马攻击检测方法和防御措施,进而对木马攻击发展趋势做出了展望。     

基于行为检测的窃密型木马检测研究

针对窃密型木马伪装技术不断发展,窃密型木马检测难度越来越高的现状,提出基于行为检测的窃密型木马检测方案.通过对常见窃密型木马通信机制建模分析,构建窃密型木马的几种通信模式.为了提高窃密型木马检测精度,以窃密型木马通信行为特征,设计了基于完整会话的窃密型木马检测方案.通过对500组实验数据测试表明,笔者设计的窃密型木马检测方案漏检率为6.8％,误报率为2.7％,优于传统的木马检测方案.     

木马病毒入侵原理与防范

简要介绍了木马病毒的危害性、发展趋势及特点,分析了木马病毒的主要原理,提出了一些防范木马病毒的建议。     

基于有限状态机的硬件木马设计和插入

针对集成电路设计和制造中存在的硬件木马问题, 提出一种新的模型来提高木马检测能力。该模型基于有限状态机, 比组合电路型木马难于触发和检测。同时, 木马电路插入位置的选择也可以有效规避路径延时检测方法。实验选择ISCAS’89基准电路中的S349作为目标电路, 对功能和延时信息进行仿真。实验结果表明, 这种类型的木马难于激活, 并且选择合适的插入位置可以有效隐藏延时信息。     

浅谈木马病毒及其防御措施

介绍了木马病毒及其对计算机系统的危害性,提出了几种查杀木马病毒的方法和防御措施。     

ASP网站中asp一句话木马的安全性问题及防范措施的研究

ASP一句话木马具有很高的隐蔽性和难查杀性,对网站的安全构成严重威胁.因此识别ASP一句话木马并对其进行防范和清除,保障WEB服务器的安全.本文从ASP一句话木马的工作原理、入侵方式等方面,详细分析ASP一句话木马的工作机制并总结出了防范思路和方法.     

浅析木马病毒及其防范措施

分析了木马病毒的特征和行为,并且对该病毒的入侵及传播方式进行了揭示,在此基础上提出了木马病毒的预防措施,并给出了目前常见的几种木马病毒的查杀方式。     

基于行为序列灰色模糊判定的计算机木马检测方法

针对计算机木马判定困难的问题,提出了一种对行为序列进行多属性灰色模糊木马判定的方法.通过对计算机木马定性分析构建了木马攻击树,归纳了木马使用攻击树叶子节点方法实现不同功能的概率等级.使用基于木马行为的检测技术检测出主机包含网络通信、隐蔽运行、开机启动、自我防护四要素的所有行为序列,视这些行为序列为木马设计方案,使用模糊数量化定性指标,将灰色系统理论与模糊优选结合,计算各方案的木马灰色模糊的优属度,最后使用危险指数进行木马判定.应用示例表明该方法可以有效区分正常程序,检出木马程序.     

基于线程管理-端口截听的木马检测系统的设计

随着互联网越来越生活化,层出不穷的木马已是网络安全的主要威胁,其隐蔽性很强,使一般检测工具难以检测.本系统通过直接扫描系统内核中的活动线程以及截拦活动线程的网络数据流量来进行木马的检测.可以检测出当前所有类型的进程隐藏木马.