10.3969/j.issn.1672-9722.2009.01.031
基于可执行路径分析的隐藏进程检测方法
研究了内核模式下进程隐藏的原理和进程隐藏检测技术.在此基础上,提出了一种Windows操作系统内核模式下基于可执行路径分析(EPA)的隐藏进程检测技术.通过检查某些关键系统函数执行时所用的指令个数,来判断这些函数是否执行了多余的代码,从而断定系统被Windows Rootkit修改过了.利用该方法,可以检测出当前常规安全检测工具不能发现的系统恶意程序的进程隐藏.
进程、隐藏、执行、路径、检测
37
TP393.08(计算技术、计算机技术)
2007年宜昌市重大科技项目编号A2007107-05资助:计算机病毒主动防范系统研究与实现
2009-04-08(万方平台首次上网日期,不代表论文的发表时间)
共4页
115-117,148
