文件名称:基于句柄分析的Windows Rootkit 检测技术研究
文件大小:897KB
文件格式:PDF
更新时间:2015-08-09 05:24:40
Rootkit 隐藏进程 句柄分析
作为网络入侵领域的一种新兴技术,Rootkit 能隐藏入侵痕迹、阻止用户和检测软件发现恶意代码的存在,具 有隐蔽性好、难以检测等特点。根据对Rootkit 行为的分析,提出了一种基于句柄分析的Rootkit 检测技术,该方法通过遍 历内核句柄表,得到系统中运行的所有进程,再与调用API 得到的进程列表对比,发现Rootkit 隐藏的进程。实验证明,该 方法对于Rootkit 具有良好的检测效果