10.3778/j.issn.1002-8331.2012.06.031
二次跳转的SSDT钩挂及其检测方法研究
对传统SSDT钩挂(SSDT Hook)及其检测方法进行了分析,同时分析了一种经过了二次跳转的SSDT钩挂方法.该方法使用了MOV指令跳转到可信任地址空间,再二次跳转到恶意代码中,突破了传统主动防御系统的JMP指令检测法和指令跳转分析法.最后,给出了一种针对该SSDT Hook的检测方法,重点对传统检测方法中的SSDT寻址方法进行了改进,取得了较好的效果.
SSDT钩挂、可信任地址空间、KeServiceDescriptorTable、二次跳转
48
TP311.1(计算技术、计算机技术)
河南省重点科技攻关计划工业类项目082102210097
2012-04-27(万方平台首次上网日期,不代表论文的发表时间)
共4页
102-105