基于线程管理-端口截听的木马检测系统的设计

随着互联网越来越生活化,层出不穷的木马已是网络安全的主要威胁,其隐蔽性很强,使一般检测工具难以检测.本系统通过直接扫描系统内核中的活动线程以及截拦活动线程的网络数据流量来进行木马的检测.可以检测出当前所有类型的进程隐藏木马.     

基于内核对象的Windows Rootkit隐藏技术研究

RootKit是一组后门工具的集合,是特洛伊木马发展的高级阶段,其在特洛伊木马众多类别中危害最大,深入研究RootKit技术,做到网络攻防知己知彼,对防范木马攻击,减少网络破坏,保护重要信息有重要意义.文章详细介绍了基于内核对象的Windows Rootkit隐藏技术原理,总结了直接内核操作和内核对象内联挂接技术,实例分析了隐藏实现过程,表明了基于内核的隐藏技术达到了较好的隐藏效果,可以避开目前大多教检测工具的检测.     

基于劫持内核入口点的隐藏进程检测方法

针对现有的隐藏进程检测方法存在易规避、兼容性差、对操作系统性能影响较大等问题,提出了一种基于劫持内核入口点的隐藏进程检测方法. 该方法根据进程与内核交互的行为特征,劫持用户态进入内核态的3类入口:KiFastCallEntry、IDT和GDT,通过语义重构建立内核态进程列表,结合交叉视图检测隐藏进程. 实验表明,与其他进程检测方法相比,该方法可以检测目前各种Rootkit隐藏进程方法;支持多种Windows操作系统版本,且对操作系统的性能影响较小;准确性高,兼容性好,实用价值高.      

WIN2000下木马隐藏自身的又一方式

进程的隐藏一直是木马程序设计者不断探求的重要技术,本文采用远程线程技术,通过动态链接库方法,较好地解决了这一问题,通过远程线程将木马作为线程隐藏在其他进程中,从而达到隐藏的目的。     

一种内核级Rootkit侦测方法

本文在简单阐述了Rootkit隐藏的机制后,提出了一种侦测Rootkit隐藏的算法。最后演示了直接遍历内核活动进程列表(ActiveProcessList)和内核调度者ETHREAD列表来侦测隐藏的Rootkit。该方法还能通过遍历内核的PsLoadedModuleList来侦测出通过挂钩本机API函数ZwQuerySystemInformationy隐藏的内核模块和内核驱动。     

木马病毒的分析与防治

首先介绍了特洛伊木马程序的一些概念，然后重点分析了木马程序的隐藏技术和常见的隐藏方式，给出了木马防治的策略。     

基于直接内核对象操作的进程伪装保护方法

针对目前基于隐藏的进程保护方法容易被Rootkit检测工具检测出而失效的情况,提出了一种基于直接内核对象操作(DKOM)的进程伪装保护方法.该方法将进程隐藏方法中较为常用的DKOM技术与传统的伪装技术相结合,通过直接修改操作系统内核空间中存储进程相关信息的数据结构,使进程在任务管理器中显示为一些系统进程,以此达到保护进程的目的.进程信息的修改涉及内核的操作,由Windows驱动实现,该驱动兼容Windows 2000以上多个版本的操作系统,具有广泛适用性.实验结果显示,经过该方法修改后,进程查看工具查看到的进程信息与正常的系统进程没有差别.伪装效果较好,用户无法发觉,Rootkit检测工具也不会提示异常.验证了基于DKOM的进程伪装保护方法的有效性.     

基于SPI技术漏洞的新型木马的防范方法

目的防范基于SPI技术漏洞的新型木马。方法从SPI技术原理出发分析新型木马利用SPI技术实现隐藏的机制,找出一种新型木马的检测和清除方法。结果提出了一套完整的针对基于SPI技术的新型木马的防御方案,并详细描述了其实现。结论这种确实可行的周期比较法,可以对新型木马实施半自动清除。     

Wingdows操作系统中驱动程序和内核的关系

在Windows操作系统中,设备驱动程序是操纵硬件的最底层软件接口。因此对驱动程序作了阐述,并选取了信息对抗技术的中关于windows内核级病毒隐藏技术和反病毒侦测技术作为议题详细讨论。     

浅析计算机木马的工作原理

本文从隐藏、传播、激活、连接、控制几个方面分析了木马的工作原理,进一步加深了对木马攻击计算机过程的理解。     

Windows 98/NT中I/O地址访问机制的探讨

Ｗｉｎｄｏｗｓ／ＮＴ中Ｉ／Ｏ限制是操作系统实现系统安全运行的一项有力措施,而突破这种限制是应用程序实现特定功能的要求。Ｗｉｎｄｏｗｓ９８由于向下兼容的需要,可以通过Ｉ／Ｏ许可位图、ＶｘＤ程序和间接跳入Ｒｉｎｇ０等方法实现Ｉ／Ｏ地址的读写。而在ＷｉｎｄｏｗｓＮＴ中,经济的方法是找出操作系统进行系统控制的函数调用。     

工艺尺寸链的求解方法

本文从工艺尺寸链的定义，详细地阐明了利用极值法的基本公式去求解工艺尺寸链的方法、步骤。特别了求解尺寸链的首要问题在于正确地确定封闭环。而确定封闭环的关键，除了关零件的具体加工方案外，必须紧紧抓拄封闭环尺寸是“间接获得”这一要领。     

开放式包过滤虚拟机的设计

该系统是针对网络协议测试中错误注入、网络安全检测中过滤机需求而设计．在充分理解Windows网络体系结构中的链路层、网络层、传输层与NDIS驱动接口之间的关系的基础上，利用Hook技术将包捕获驱动挂接在网络层与链路层二之间．它不仅包含常规的捕获驱动功能，而且实现了ring0与ring3相互调用，用户在应用级直接操作ring0层的数据结构，具有良好的开放性和可扩张性．系统在Windows环境下实现．已在协议测试、安全检测中得到应用．     

一种基于网络行为分析的HTTP木马检测模型

基于HTTP协议进行网络通信的木马能够躲避部分网络安全监控系统的检测,是互联网安全的一个重大威胁。通过对该类木马样本和普通程序样本网络行为的对比分析,得到该类木马的6个网络行为特征,综合利用层级聚类、Davies-Bouldin指数和k-means聚类方法提出了一种木马检测模型,实现了HTTP木马检测。结果表明,该HTTP木马检测模型准确率较高,误报率较低。     

音频信息隐藏方法研究

信息隐藏技术已经成为近年来的研究热点,而音频信息隐藏更是这热点中的重点.利用该技术可以在音频文件中嵌入秘密信息以实现"隐秘通信"和"版权保护".该技术的工作原理是基于人类听觉系统的特性和隐藏数据的几个基本要求的.迄今为止该技术还正处于发展中,已经提出了一些方法,这些方法都各具优势和劣势,还不成熟.     

一种Ring3级别进程过滤系统的设计与实现

介绍了运行于Ring3权限级别的、基于Windows2000/XP操作系统的进程过滤系统的设计原理,研究和分析了实现Ring3环境下进程过滤系统目标涉及的若干关键技术,以求以较低的开发成本实现用户计算机系统进程过滤功能的目标。     

WindoWs下 EPP并口的驱动程序设计及其应用

针对Windows2000下不能像DOS环境一样直接使用系统的硬件资源,提出了开发Windows驱动程序模型(WDM:Windows Driver Module),使其工作在Ring0层,成为操作系统内核的一部分,从而实现对硬件的快速访问;以开发Windows下EPP(Enhanced Parallea Port)并口的高速分布式控制系统为例,阐述了WDM驱动程序的基本原理、模块化的结构以及用DriverWorks开发的具体步骤和设计方法,主从机间的传输速率高达1 Mbit/s.目前,此设计已成功地应用于分布式地震仪中,极大地方便了野外施工.     

基于文件系统过滤驱动的内核Rootkit隐藏技术

Rootkit是能够持久或可靠地、无法检测的存在于计算机上的一组程序和代码.研究了基于文件系统过滤驱动技术的内核Rootkit,阐述了文件系统过滤驱动的工作原理、过滤驱动的实现、基于文件系统过滤驱动的内核Rootkit对文件隐藏的实现,并讨论了针对Rootkit隐藏的检测技术.     

我国知识密集型服务业创新格局的时空演化研究——基于探索性空间数据分析方法

知识密集型服务业创新是国家创新系统中知识基础结构的重要组成部分,对我国当前经济结构升级转型与创新发展具有重要的引领作用.该研究构建知识密集型服务业创新的综合评价指标,测算了我国31个省、自治区、直辖市的知识密集型服务业创新水平.在考虑空间因素影响的条件下,运用探索性空间数据分析法、核密度估计法研究我国省域知识密集型服务创新水平的空间分布、聚集模式及时空演变规律.研究发现,我国知识密集型服务业创新水平整体较低,形成不同的趋同俱乐部,出现俱乐部之间趋异的现象.KIBS创新在空间上总体呈现出由东向西递减的“核心—边缘”结构,创新扩散遵循着地理距离衰减效应.在时间演进上呈“单峰－多峰”的动态演进趋势和阶段性特征,呈现出不同的空间集聚模式,高高集聚区主要分布在江浙沪和环渤海心脏地带(北京和天津),而大西南和大西北大部分地区则属于低低的空间集聚模式.