系统服务Rootkits隐藏行为分析

被引：1

作者：

龙海

郝东白

黄皓

机构：

[1] 南京大学计算机科学与技术系软件新技术国家重点实验室

来源：

计算机科学 | 2008年 / 06期

关键词：

rootkits; 系统服务; 行为; 控制流图; 数据流图; 函数调用图;

D O I：

暂无

中图分类号：

TP393.08 [];

学科分类号：

0839 ; 1402 ;

摘要：

用挂钩系统服务来实现进程、文件、注册表、端口等对象的隐藏是最常见的rootkits实现方式。然而大量的检测方法并不能将rootkits和其所隐藏的对象对应起来。本文分析了用户层和内核层系统服务rootkits的隐藏行为,建立了6种模型。在检测出系统服务rootkits的基础上,提出了一种分析其二进制执行代码,匹配模型,找出隐藏对象的方法,实现了一个隐藏行为分析原型。实验结果证明这种隐藏行为分析方法能有效分析出隐藏对象。

引用

页码：103 / 106

页数：4