基于劫持内核入口点的隐藏进程检测方法被引量：3

Hidden Process Detection Method Based on Intercepting the Entry of System Kernel

作　　者：罗森林[1] 闫广禄[1] 潘丽敏[1] 冯帆[1] 刘昊辰[1]

出　　处：《北京理工大学学报》2015年第5期545-550,共6页Transactions of Beijing Institute of Technology

基　　金：北京理工大学科技创新计划重大项目(2011CX01015);国家"二四二"计划项目(2005C48)

摘　　要：针对现有的隐藏进程检测方法存在易规避、兼容性差、对操作系统性能影响较大等问题,提出了一种基于劫持内核入口点的隐藏进程检测方法.该方法根据进程与内核交互的行为特征,劫持用户态进入内核态的3类入口:KiFastCallEntry、IDT和GDT,通过语义重构建立内核态进程列表,结合交叉视图检测隐藏进程.实验表明,与其他进程检测方法相比,该方法可以检测目前各种Rootkit隐藏进程方法;支持多种Windows操作系统版本,且对操作系统的性能影响较小;准确性高,兼容性好,实用价值高.At present,hidden process detection methods are avoidable,poor compatibility or high wastage.A method based on intercepting the entry of system kernel was proposed to solve these problems.The method applies the process behavior of communicating with system kernel to intercept the three channels：KiFastCallEntry,IDT and GDT,which were from user layer to kernel layer.Furthermore,the method applied the semantic reconstruction to establish the process list of kernel layer,and then combined with cross-view to detect hidden processes.The experiments show that the method proposed in this paper can detect all kinds of hidden processes at present.The method can be used in the majority of Windows operating system and it has higher detection accuracy,better compatibility,lower wastage and stronger pragmatic value.

关键词：隐藏进程检测交叉视图 ROOTKIT 隐藏进程

分类号：TP399[自动化与计算机技术—计算机应用技术]

参考文献：

正在载入数据...

二级参考文献：

正在载入数据...

耦合文献：

正在载入数据...

引证文献：

正在载入数据...

二级引证文献：

正在载入数据...

同被引文献：

正在载入数据...

高级检索 检索式检索

时间限定

期刊范围

学科限定全选

高级检索 检索式检索

时间限定

期刊范围

学科限定全选

基于劫持内核入口点的隐藏进程检测方法被引量：3

我的收藏

参考文献：

二级参考文献：

耦合文献：

引证文献：

二级引证文献：

同被引文献：

相关期刊文献：

相关的主题

相关的作者对象

相关的机构对象

下载全文

高级检索检索式检索

时间限定

期刊范围

学科限定全选

高级检索 检索式检索

时间限定

期刊范围

学科限定全选

基于劫持内核入口点的隐藏进程检测方法 被引量：3

我的收藏

参考文献：

二级参考文献：

耦合文献：

引证文献：

二级引证文献：

同被引文献：

相关期刊文献：

相关的主题

相关的作者对象

相关的机构对象

下载全文

用户登录

高级检索检索式检索

基于劫持内核入口点的隐藏进程检测方法被引量：3