基于结构关系检索的隐藏进程检测-计算机工程.PDFVIP

第 卷 第 期 计 算 机 工 程 年 月 安全技术 文章编号 文献标志码 中图分类号 基于结构关系检索的隐藏进程检测 贾 乘周悦芝 清华大学 计算机科学与技术系北京 摘 要 对现有各类隐藏进程的实现方法以及隐藏进程检测技术进行研究提出一种以进程结构与句柄结构间的 关系作为内存检索标志获取完整进程信息的方法 该方法可避免检索标志被破坏导致的隐藏进程检测失败 运 用交叉视图匹配技术设计并实现了隐藏进程检测系统在系统调用 内核结构表遍历 内存检索 个层次基础上 获得进程信息 实验结果表明该系统能实现对隐藏进程的检测及区分功能 关键词 内存检索结构关系隐藏进程句柄结构进程结构 中文引用格式贾 乘周悦芝基于结构关系检索的隐藏进程检测计算机工程 英文引用格式 交叉视图匹配 法是一种比较有效的隐藏进程 概述 检测方法 交叉视图匹配法利用不同方法获取的进 通常一个恶意软件对系统进行攻击可以分为 程结构信息进行对比分析确定隐藏进程的存在 个阶段 通过网络传播软件安装等方式完成对 传统获取进程结构信息的方法主要有 种 遍历 一个系统的入侵获得系统的权限 维持对系统的 系统维护进程相关的各种链表结构获取进程信息 控制实现对系统的长期访问权限窃取系统的重要 但是这种方法对第 类基于 技术的隐藏进 信息 而进程隐藏是确保恶意程序隐身于系统中的 程无效 在一些关键函数上利用挂钩技术获取进 重要基础 因此如何检测隐藏进程成为安全领域 程信息但会影响系统正常运行的性能 通过内存 中一个重要问题 现有的隐藏进程技术主要分为 类 基于挂钩 检索获取进程结构信息这种方法的关键是检索标 技术的进程隐藏在通过系统调用获取系统信息的过 志的确定 不同于现有方法中以单一结构作为检索 程中截取