Rootkit进程隐藏与检测技术研究

进程（Process）是操作系统进行资源分配和调度的基本单位，是Windows系列操作系统结构的基础。进程隐藏虽然能够为计算机取证提供便利，但是增加了检测系统中运行的恶意代码的难度。在深入研究Windows进程隐藏技术的基础上，针对常用进程隐藏技术的特点，提出几种Windows操作系统下检测隐藏进程的方法。这些方法能够准确、快速地检测操作系统中隐藏的进程。     

Windows RootKit进程隐藏与检测技术的研究

目前木马制造者趋于利用RootKit技术来隐藏它们的进程,危害信息与网络安全。重点从用户和内核两种模式深入剖析了Windows RootKit隐藏进程技术,并提出基于进程表的综合检测机制。测试证明:只有从用户和内核两种模式下应用多种进程表检测技术,才是安全检测隐藏进程更为有效的方法。     

Windows系统下Rootkit的隐藏与检测

Windows下的Rootkit是近几年出现的后门程序,与一般的后门程序相比它更难检测．该文分析了Windows下Rootkit的各种隐藏技术,以及相应的检测方法,同时提出了基于内存扫描的隐藏系统模块检测方法．     

Windows应用程序敏感数据保护研究

通过对Windows操作系统数据管理机制的研究,结合硬件辅助虚拟化技术,提出了一个应用程序敏感数据保护系统。本系统通过预处理加密技术和物理页帧加密技术阻止对静态存储数据的攻击,通过双影子页表技术和数据执行保护技术隐藏应用程序受保护内存区域内的明文内容,通过监控页表访问控制阻止进程受保护区域被其它进程恶意修改。     

基于API函数拦截技术的进程隐藏研究

API函数拦截是指通过特定的方法中断API函数的调用,转而执行用户的功能代码的一种行为.介绍了如何通过对API函数的拦截来实现进程的隐藏,重点讨论了所涉及到的DLL注入和API拦截两项关键技术的多种实现途径,并给出了实现进程隐藏的关键代码.     

Visual C++下利用三级跳实现进程的隐藏

介绍了一种在Windows 9x和Windows NT／2000下实现进程隐藏的方法，并给出了一个简单的实例．     

Windows CE5．0平台下Winsock编程的应用

论述了Windows CE的网络通信体系结构以及Windows CE下的Winsock网络编程的基本原理,然后使用eMbedded Visual C＋＋4．0,调用Windows CE平台提供的Socket API函数。实现了基于Windows CE的客户端和桌面Windows系统的服务器的通信．     

基于LSB图像信息隐藏的检测及处理

信息隐藏技术可以使一些信息通过图像等载体越过防火墙系统.为维护网络的安全,检测网络上传输的图像是否含有隐藏的信息就显得非常重要,但现在检测方法都不太理想,即使检测出有隐藏信息,也提取不出来.本文通过分析几种常见的检测方法的不足,给出了一种思想,能有效的破坏隐藏信息,从而保证网络的安全.     

基于LSB图像信息隐藏的检测及处理

信息隐藏技术可以使一些信息通过图像等载体越过防火墙系统.为维护网络的安全,检测网络上传输的图像是否含有隐藏的信息就显得非常重要,但现在检测方法都不太理想,即使检测出有隐藏信息,也提取不出来.本文通过分析几种常见的检测方法的不足,给出了一种思想,能有效的破坏隐藏信息,从而保证网络的安全.     

一个图像DCT域的信息隐藏实验

通过修改LSB嵌入信息的信息隐藏方法是比较容易实现的,但用这种方法实现的隐藏信息是十分脆弱的,连最简单的修改都不能容忍。本文通过一个图像DCT域的信息隐藏实验,用MATLAB函数实现图像DCT域的信息隐藏和提取,并分析了隐蔽载体在JPEG压缩条件下的健壮参数a与隐藏鲁棒性、不可检测性的关系。     

代码注入攻击及防御技术研究

分析了Windows系统下代码注入攻击技术,提出了基于Detours技术挂钩装载动态链接库函数的防御方案,并介绍了具体实现方法．     

Windows应用单点登录系统设计与实现

本文涉及的SSO系统克服了传统SSO系统的缺点,对应用系统登陆过程进行了分离解析,采集提取了Windows应用程序的界面中应该有共性信息,即用户登录的时候将用户的用户名、密码信息和不同的窗体的句柄的坐标位置信息,并选择调用相应的系统API函数,形成一个Windows消息队列来记录下用户登录的过程,实现了Windows应用系统的单点自动登录,实际使用效果良好.     

一种绘制斜椭圆的细化算法

斜椭圆的数学模型相对简单,但在windows下实现绘制斜椭圆时非常困难,常见的方法是在标准文本中修改Bresenham方程来绘制近似的斜椭圆.然而,这种方法必须自己执行光栅操作,这样在绘制宽线时就变得复杂了.这种方法只有用在向一个脱离屏幕的表面（比如DirectDraw）或位图上绘制.运用极限思想和Windows系统下提供的API函数GradientFill可以直接在WindowNT下绘制斜椭圆.     

基于模拟攻击的Windows系统漏洞提权攻击检测方法

Windows系统漏洞提权攻击属于隐性攻击,检测过程的干扰性较强,为此提出基于模拟攻击的Windows系统漏洞提权攻击检测方法。构建Windows系统漏洞提权攻击的信号拟合模型,结合极速学习方法进行Windows系统的漏洞提权攻击的特征提取。仿真结果表明,采用该方法进行Windows系统的漏洞提权攻击检测的准确概率较高,误检率较低,提高了Windows系统的安全性。     

动态链接库注入研究

动态链接库(DYNAMIC LINK LIBRARY)和Windows系统紧密相关。动态链接库收容了几乎一切WIN32 API函数,提供了绝大多数功能调用。DLL(动态链接库)注入技术,就是把要注入的代码写到DLL中,然后让目标进程加载这个DLL。对DLL的注入方式及应用进行探讨,从而使之更好地发挥作用。     

内部网文件监控与审计的研究

在Policy(策略)、Protection(防护)、Detection(检测)和ResponSe(响应)安全模型(简称P2DR)的基础上,论述了内部网文件监控审计系统的设计和实现,在系统监控端上,利用木马的"隐蔽性",实现了在win2002系统中的进程隐藏和通信隐藏,在文件监控上,分析了P2DR安全模型及其理论体系,从防护、检测、响应三个方面论述了内部网文件监控审计系统对数据进行全方位安全保护机制,它具有快捷的检测响应速度和良好的安全性能.     

优化——让Windows7运行得更顺畅

上期给淀粉们做了一期有关安装Windows7的专题,相信很多淀粉已经加入到使用Windows7的行列来了。相比以前的操作系统。Windows7系统多出了许多新的特色功能。但淀粉是否发现。Windows7系统就像新安装的其他Windows系统一样,随着时间的推移运行速度和使用效率变得越来越低了呢？怎么样才能让自己的Windows7系统—直保持高效率呢？本期将给淀粉介绍非常有效的Windows7的优化设置,让你的Windows7时刻保持高速运转。     

网络信息安全保护技术——评《网络安全中的信息隐藏与入侵检测技术探究》

<正>陈松根据对信息隐藏技术和入侵检测技术的分析和研究,写成了《网络安全中的信息隐藏与入侵检测技术探究》一书。本书分为上下两大部分,上半部分主要论述信息隐藏技术的特点、数字水印技术、隐写分析技术及信息隐藏技术的应用;下半部分主要探究入侵检测技术,包括入侵检测技术的概述、入侵检测系统和入侵检测的主要技术。信息隐藏技术主要涉及数据的隐藏、保密通信、密码学等相关学科的知识,是隐蔽通信和知识产权保护等信息安全的重要手段。信息隐藏技术主要划分为四个阶段:预处理阶段、嵌入阶段、传输阶段以及提取     

Visual C++中利用内存映射文件在进程之间共享数据

Windows平台下可以使用内存映射文件,使在同一台计算机上运行的多个进程能够共享数据。Windows提供的比较高级的进程数据通信方法都是使用内存映射文件来实现的。介绍了内存映射文件的相关知识以及如何在VC下编程实现的实例。     

基于Agent的机房安全检测系统设计

针对防病毒软件对机房的安全威胁防范作用具有局限性的状况,提出了一种基于Agent的安全检测方案,将具有各种安全检测功能的移动Agent派遣到被检测机器上执行任务,检测机器的还原系统是否遭到破坏,网络状况是否正常等。充分利用了多Agent系统所具有的分布式计算,协同式工作的特点,通过对机房电脑还原系统功能完好性检测及ARP病毒检测的模拟实验,表明系统达到了预期的效果。另外,对系统的可扩展性也进行测试,结果表明系统的可扩展性良好。