10.3969/j.issn.1002-137X.2009.08.032
一种基于交叉视图的Windows Rootkit检测方法
Rootkit被病毒、木马等恶意软件用来隐藏其在被入侵系统上的踪迹,使得它们能够在系统中潜伏较长时间,它的存在给系统及其使用者带来较大的安全隐患.首先对Windows rootkit进行了研究,以此为基础,从rootkit的行为入手,提出了基于进程检测进行rootkit检测的机制,并设计了一种基于交又视图的Windows rootkit检测方法.这种方法通过比较从系统高层和底层获得的进程列袁,从中检测出被rootkit隐藏的进程,其中,系统底层的进程列表通过在Windows内核中查找内核对象的方法获得.最后,利用这种方法实现了一个Windows rootkit检测工具Ⅵ一TAL,并选用若干有代表性的rootkit进行实验,通过和其他工具的对比,验证了这种方法具有较强的检测功能.
rootkit、rootkit检测、隐藏进程
36
TP309.5(计算技术、计算机技术)
国家科技支撑计划2006BAH02A02;国家高技术研究发展计划8632006AA01Z175,2006AA01Z189,2007AA01Z462,2007AA010304,2008AA01Z133
2009-10-23(万方平台首次上网日期,不代表论文的发表时间)
共5页
133-137
