一种基于交叉视图的Windows Rootkit检测方法
Rootkit被病毒、木马等恶意软件用来隐藏其在被入侵系统上的踪迹,使得它们能够在系统中潜伏较长时间,它的存在给系统及其使用者带来较大的安全隐患。本文首先对Windows rootkit进行了研究,以此为基础,从rootkit的行为入手,提出了基于进程检测进行rootkit检测的机制,并设计了一种基于交叉视图的Windows rootkit检测方法。这种方法通过比较从系统高层和底层获得的进程列表,从中检测出被rootkit隐藏的进程,其中,系统底层的进程列表通过在Windows内核中查找内核对象的方法获得。最后,利用这种方法实现了一个Windows rootkit检测工具VITAL,并选用若干有代表性的rootkit进行实验,通过和其他工具的对比,验证了这种方法具有较强的检测功能。
隐藏进程 检测功能 进程检测 交叉视图
白光冬 郭耀 陈向群
高可信软件技术教育部重点实验室 (北京大学) 北京大学信息科学技术学院软件研究所,北京 100871
国内会议
广州
中文
217-223
2008-11-11(万方平台首次上网日期,不代表论文的发表时间)