如今,不管是在個(gè)人計(jì)算機(jī)還是服務(wù)器上,Windows操作系統(tǒng)已經(jīng)無(wú)處不在。與Windows操作系統(tǒng)如影隨形的是各種惡意代碼,這其中Rootkit以隱遁攻擊嚴(yán)重危害到系統(tǒng)和用戶數(shù)據(jù)安全。Rootkit可以通過(guò)隱藏自身在系統(tǒng)中的信息來(lái)持久的生存于受害系統(tǒng)中,也使得它可以躲避安全防護(hù)軟件的查殺。Rootkit要隱藏的首要目標(biāo)是自身進(jìn)程,通過(guò)檢測(cè)隱藏進(jìn)程就能檢測(cè)到Rootkit。但已有的檢測(cè)隱藏進(jìn)程的方法要么存在被Rootkit規(guī)避的途徑,要么檢測(cè)耗時(shí)過(guò)長(zhǎng)致檢測(cè)效率低。本文在對(duì)各種Rootkit案例進(jìn)行總結(jié)后,給出了Rootkit攻擊的形式化表示和使攻擊成功的根本原因。然后提出多進(jìn)程視圖對(duì)比檢測(cè)模型,并定義了可信進(jìn)程視圖必須滿足的兩個(gè)約束�；谠摍z測(cè)模型,提出兩種新的在內(nèi)核層獲取進(jìn)程視圖的方法,以構(gòu)建虛擬進(jìn)程視圖和物理進(jìn)程視圖,并與用戶層進(jìn)程視圖進(jìn)行差異分析來(lái)檢測(cè)隱藏進(jìn)程。虛擬進(jìn)程視圖依賴的是由對(duì)象管理器統(tǒng)一創(chuàng)建和維護(hù)的分發(fā)器對(duì)象。對(duì)象管理器為每個(gè)分發(fā)器對(duì)象分配內(nèi)存時(shí)都帶有額外的管理結(jié)構(gòu),其中保存著Pool Tag。在分發(fā)器對(duì)象的整個(gè)生命周期內(nèi),Pool Tag都不會(huì)改變。使用Pool Tag... 

【文章來(lái)源】：哈爾濱工業(yè)大學(xué)黑龍江省 211工程院校 985工程院校

【文章頁(yè)數(shù)】：60 頁(yè)

【學(xué)位級(jí)別】：碩士

【部分圖文】：

進(jìn)程4個(gè)物理頁(yè)面之間的關(guān)系


本文編號(hào)：2986478