10.3969/j.issn.1000-1735.2009.02.014
Rookit木马的隐藏机理与检测技术剖析
随着网络技术的发展,基于传统隐藏技术的木马已经很难生存,木马隐藏技术开始由Ring 3级转入Ring 0级.运行在Ring 0级的木马,拥有与系统核心同等级的权限,隐藏与伪装更为容易.笔者讨论了Windows内核系统服务调用机制,分析了删除进程双向链表中的进程对象、SSDT内核挂钩注册表隐藏、端口隐藏等Rootkit木马的隐藏机理,最后对Rookit木马的几种检测技术作了详细的剖析.研究内容对增强人们防患意识、更好地维护计算机系统的安全有一定的参考价值.
Rookit木马、系统调用、隐藏机理、入侵检测
32
TP393.08(计算技术、计算机技术)
2009-07-10(万方平台首次上网日期,不代表论文的发表时间)
共3页
174-176
