基于内存池搜索的Rootkit检测技术研究
在内存池中搜索被rootkit隐藏的对象,是检测使用DKOM技术的rootkit的有效手段,而如何抽取和建立对象的特征码是内存池搜索的前提条件和关键步骤。本文首先提出了一个抽取特征码的方法,用该方法抽取的特征码具有抗攻击性,使得漏报的理论值为零。然后,进一步探讨了如何减少误报的方法。将上述方法和差异检测技术结合起来,可对使用DKOM技术隐藏的rootkit对象进行有效的检测。
rootkit检测 Windows内存池 隐藏对象 内存池搜索 特征码抽取 差异检测
邹蕴珂 李舟军 柳本金
北京航空航天大学计算机学院 北京 100191 海军装备研究院 北京 100161 北京航空航天大学计算机学院 北京 100191 中国信息安全测评中心 北京 100085
国内会议
北京
中文
263-267
2009-12-01(万方平台首次上网日期,不代表论文的发表时间)