共查询到10条相似文献,搜索用时 937 毫秒
1.
向PE文件中插入可执行代码的研究 总被引:4,自引:0,他引:4
胡珊 《鞍山科技大学学报》2005,28(2):119-122,126
根据Win32 PE文件的结构特征,实现了两种不同的向PE文件中插入可执行代码的方法:(1)在本节中的未用空间中插入代码;(2)添加新的节。指出在编写要添加的代码的过程中,要注意插入代码的变量地址的重定位和代码返回改动态获取API入口地址等问题。 相似文献
2.
运用Hook技术实现的软件防火墙 总被引:10,自引:0,他引:10
提出利用Hook系统核心函数方法来实现软件防火墙.操作系统在加载NDIS驱动程序时,将NDIS协议特征结构表中的API函数映射到内存中.通过在内存中定位这些API地址,按照PE格式将导出表中的函数地址替换成自定义的函数地址,在操作系统调用系统自身API函数前,先进行自定义函数的处理,实现对数据包的过滤. 相似文献
3.
胡珊 《辽宁科技大学学报》2005,28(2)
根据Win32 PE文件的结构特征,实现了两种不同的向PE文件中插入可执行代码的方法:(1) 在本节中的未用空间中插入代码;(2) 添加新的节.指出在编写要添加的代码的过程中,要注意插入代码的变量地址的重定位和代码返回改动态获取API入口地址等问题. 相似文献
4.
Win32PE病毒是Windows系统下技巧性很强的病毒,主要感染PE格式的可执行文件。本文对PE格式进行了详细研究,总结了此类病毒用到的相关技术,如重定位,如何获取API函数地址等,并透彻分析了CIH病毒代码。通过对大量病毒和染毒文件的剖析,总结出了一系列的与PE文件头、节表有关的染毒标志性行为,利用这些特征行为设计了基于PE文件状态的病毒检测方案。 相似文献
5.
基于Windows Native API序列的异常检测模型 总被引:3,自引:0,他引:3
针对Windows操作系统受到的越来越多的严重攻击,提出一种基于Native API序列的多步一致模型和指数迭代检测算法,实现了从内核空间检测Windows操作系统中的异常入侵.通过设计内核虚拟设备来截获系统服务分配表,从而可实时地获取Native API信息.用被截获的正常Native API数据建立一步和二步一致模型,并以此描述进程的正常行为.在检测过程中,通过指数迭代检测算法,可对不断出现的Native API的正常指数进行度量.采用报警提取算法对正常指数进行分析可惟一地确定对应的攻击,为管理员及时掌握系统的安全状况提供了保证.在不同的Windows操作系统环境下的实验结果表明,该方法有较好的检测精度. 相似文献
6.
根据仿真系统支撑平台的实时性要求,利用动态链接库和内存映射文件建立系统运行的实时数据库,通过内存映射文件开辟共享内存区,编制一系列封装在动态链接库的接口函数来实现对共享内存区数据的操作.该方法既能实现多个进程数据的共享,又保证了实时的响应速度. 相似文献
7.
基于API Hook的进程行为监控系统,利用钩子技术和内存保护技术,实现了透明地对客户机进程API调用行为的安全监控.首先通过对客户虚拟机的API函数设置钩子,截获虚拟机中的进程API调用行为;接着利用内存保护技术,对客户机的钩子进行隐藏和保护,保证行为监控对客户虚拟机的透明性;然后利用虚拟机管理器的隔离性,将安全工具放在安全域中,一方面防止恶意进程检测并且攻击安全工具,另外一方面解决恶意租户利用虚拟机进行攻击的问题;最后在截获客户虚拟机API调用的基础上,利用语义重构技术,对客户虚拟机进程创建、文件操作、注册表操作等行为进行细粒度监控.测试结果表明:(1)监控系统可以有效的截获客户虚拟机进程API调用,结合语义重构技术,监控系统能够有效地对进程创建、文件操作、注册表操作等进程行为进行监控;(2)针对单个Hook点性能测试表明,监控系统截获API调用对系统性能的影响为4.8%;(3)在文件监控方面,基于API Hook的进程行为监控系统相对于现有截获系统调用的监控系统性能提高73%. 相似文献
8.
9.
付大愚 《沈阳师范大学学报(自然科学版)》2004,22(3):216-219
分布式系统作为一种流向是现代计算机技术发展的产物.与传统的集中式系统相比,分布式系统拥有经济性、速度、固有的分布性、可靠性、可扩展性的优势.分派到不同机器上的进程通过管道技术连接起来协同工作展现了分布式系统的灵活性和更强的计算能力.无名管道只允许同一台机器上的进程进行通信,Windows NT4.0以上版本开始支持有名管道.本文的实例采用visual C 6.0编码。通过Windows API调用实现两台机器上的服务器端进程和客户端进程对管道的读写操作. 相似文献
10.
电子海图导航系统多设备接口动态链接库的开发 总被引:4,自引:1,他引:4
从系统开发的角度,针对电子海图导航系统中多种船舶导航设备信息的集成,采用面向对象技术,开发了通用多设备接口动态链接库.该动态链接库集成了GPS、AIS、ARPA、罗经、计程仪、自动舵、测深仪等驾驶台主要导航设备的软件接口,接口功能包括数据接收与发送、解析、控制及传递,接口标准符合IEC61162.该动态链接库完全独立于上层应用系统,不仅易于系统的集成,更有利于系统的升级和功能扩展。 相似文献