论文摘要
随着计算机、网络的持续发展,给木马的传播提供了诸多途径。木马能带来巨大的危害很大部分来源于其隐蔽性,难于被检测、发现。不过,传统用户级木马,由于一些主动防御软件、杀毒软件的免费使用,以及这些工具对其所用伎俩了如指掌、狠杀猛截,危害性已呈逐年下降的趋势。这就促使了一些木马研究者去探究木马在内核中的隐藏技术,以期达到更好的隐藏效果,逃避传统工具的检测。内核级木马主要使用内核Rootkit技术来实现对其自身的隐藏。研究内核级木马隐藏技术,不仅可以深入对内核的学习,而且也有利于找到更好的检测方案来应对可能出现的隐藏技术。传统的主从型内核级木马的木马功能是在应用层实现的,内核只是起到一个协助隐藏的作用。而应用层的程序具有诸多的特性,这就需要协助隐藏部分针对所有的特性实施隐藏。针对这些缺点,通过对常用内核级隐藏技术的分析,改进的内核级木马隐藏方案在四个方面做了调整:在自启动方面,采用线程注入、在驱动中加载驱动的方法;在文件隐藏方面,通过逆向IRP的传递过程,对接近磁盘卷操作的函数NtfsCommonDirectoryControl进行内联Hook;在木马功能的实现上,主要通过驱动程序来完成;为了对木马截获信息的保护,在传送给隐蔽通信通道前,使用AES加密算法来加密。最后,通过对调整后的方案的实现以及测试,发现其能逃避一些知名反Rootkit工具的检测,达到了较好的隐藏效果。
论文目录
相关论文文献
- [1].内核级数据保护和恢复技术的研究与实现[J]. 电脑知识与技术 2020(09)
- [2].Windows内核级Rootkits隐藏技术的研究[J]. 计算机科学 2010(04)
- [3].Windows下内核级木马隐藏技术研究[J]. 微处理机 2009(01)
- [4].一种面向特定应用的内核级文件加密技术[J]. 计算机科学 2015(S1)
- [5].Linux内核级exploit原理及应用[J]. 西南民族大学学报(自然科学版) 2008(05)
- [6].Kylin系统的内核级Rootkit防护[J]. 计算机工程 2008(22)
- [7].Linux用户行为记录器的一种内核级实现方法[J]. 计算机技术与发展 2008(02)
- [8].Windows内核级防护系统[J]. 软件 2016(03)
- [9].基于内核级程序快照的软件调试框架[J]. 小型微型计算机系统 2013(10)
- [10].基于嵌入式Linux系统的内核级线程库的研究与实现[J]. 小型微型计算机系统 2009(07)
- [11].一种内核级多进程负载均衡会话保持方法[J]. 计算机工程 2014(03)
- [12].基于读写优化的内核级加密文件系统[J]. 计算机工程 2010(15)
- [13].基于文件系统异常的内核级Rootkit检测[J]. 计算机应用研究 2009(08)
- [14].内核级进程管理工具 PowerTool[J]. 电脑知识与技术(经验技巧) 2011(11)
- [15].一种融合用户级和内核级拦截的主动防御方案[J]. 计算机应用研究 2013(06)
- [16].一种基于内核级监测的恶意软件聚类分析方法[J]. 软件 2017(05)
- [17].底层控制,终结内核级杀手[J]. 网络与信息 2008(08)
- [18].一种防范rootkit入侵的内核模块加载机制[J]. 软件 2015(04)
- [19].Linux文件加/解密过滤驱动的设计与实现[J]. 计算机工程 2009(09)
- [20].穿戴计算机的内核级检查点优化策略研究[J]. 高技术通讯 2008(05)
- [21].一种新的内核级Rootkit的检测方法[J]. 计算机应用研究 2009(08)
- [22].嵌入式系统中安全审计的设计与实现[J]. 计算机安全 2008(02)
- [23].Windows Rootkit技术概述[J]. 网络安全技术与应用 2008(05)
- [24].基于驱动的通用木马结构研究与设计[J]. 计算机工程与设计 2008(16)
- [25].基于Linux系统调用的内核级Rootkit技术研究[J]. 计算机技术与发展 2010(04)
- [26].一种混合式过滤系统工作原理与用户层设计[J]. 硅谷 2009(09)
- [27].一种基于VMM的内核级Rootkit检测技术[J]. 信息网络安全 2015(04)
- [28].启动型恶意代码分析与检测综述[J]. 计算机应用与软件 2015(09)
- [29].基于Hyperic HQ的文件监控系统研究[J]. 计算机工程 2011(S1)
- [30].基于ARM的CC1100无线服务器的设计与实现[J]. 电子设计工程 2013(04)