- 1、本文档共26页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
四川师范大学本科毕业设计
基于线程调度的进程隐藏检测技术研究
基于线程调度的进程隐藏检测技术研究
学生:魏昌宏 指导老师:唐彰国
内容摘要:
基于线程调度的进程隐藏检测技术,利用操作系统进程的资源分配和调度机理,通过直接扫描系统内核中的活动线程来逆向检测实际存在的进程列表信息。该方法可以检测出当前常规安全检测工具不能发现的系统恶意程序的入侵行为。和现有的进程隐藏检测方法相比,该检测方式克服了各种缺陷,具有更加彻底可靠的安全机制,可以检测出当前所有类型的进程隐藏。
关键词 特洛伊木马 Rootkit 进程隐藏 线程调度 入侵检测
Abstract
Thread dispatch based hidden processes detection technique makes use of the process’s resource assignment and dispatch mechanism in operating system to scan active threads in system kernel for reverse detecting active processes list. This method can detect more Trojan horse’s intrusions than general security detection software. Comparing with normal hidden process detection techniques. it has gotten over all of the limitations. and found all types of current hidden processes based on more reliable secure mechanism.
Keywords Trojan horse Rootkit Process hiding Thread dispatch Intrusion detection
目 录
基于线程调度的进程隐藏检测技术研究1.1 课题背景
特洛伊木马作为一种危害性大、隐蔽性高的远程控制工具通常被反病毒软件作为病毒来处理。但随着网络入侵技术的发展,出现了新一代的后门控制技术RootKit。她通过修改操作系统代码使得攻击者能够获取对系统的完全控制权,同时隐藏于计算机系统之中而不被管理员和安全检测软件所发现。现有的检测技术都是基于信任操作系统所提供的主机运行信息这个前提,但由于RootKit能够修改系统的这些关键数据,使得常规安全检测方法和工具被欺骗而变得不再可信。进程隐藏是系统管理员面临的最通常的安全威胁,必须考虑将秘密潜伏在系统中的特洛伊木马进程检测出来,以实现可信任的主机入侵检测与防御。
12 线程调度简介
在Windows操作系统中是基于线程对象的资源调度规则,因此在系统中存在不同状态的线程队列,如运行、等待状态等。恶意系统程序可以修改系统内核的活动进程列表来隐藏自身并获取CPU资源,但不能够修改系统内核的活动线程列表。如果恶意程序在系统的线程列表中解开了想要隐藏的线程的数据结构后,这些在队列中被解开的线程将不会再获取CPU地运行时间资源,这样恶意程序就不能在系统中正常地运行了。其本质在于Windows等操作系统是基于线程调度资源分配的,也就是操作系统不会给没有探测到的线程分配相应的CPU执行时间单元。在操作系统中维持了三组系统调用的线程列表它们是KiDispatcherReadyListHeadKiWaitInListHead和KiWaitOutListHead。其中第一个数据结构中包含了32个列表,每个列表对应一个调度优先级,全部列表构成了系统中存在的所有状态为READY的线程资源。基于分时优先权的调度机制,操作系统会在这32个列表中调度相应的线程,以各自分配应有的执行时间。后两个数据结构非常相似,它们维持了系统中处于等待状态的线程列表。鉴于操作系统中的CPU资源分配是基于线程来实施的,所以只要恶意系统程序存在并运行,就一定有相应的线程资源及其对应的进程信息。爱好者博墅\M8H v*} @
1.3 课题的提出
基于上述的论述,对隐藏进程的检测在系统维护安全上就有了重要意义。通过C、C++语言编写程序,基于线程调度的进程隐藏检测技术,从操作系统进程的资源分配和调度机理出发,通过直接扫描系统内核中的活动线程来逆向检测实际存在的进程列表信息。和现有的进程隐藏检测方法相比,该检测方式克服了各种缺陷,具有更加彻底可靠的安全机制,可以检测出当前所有类型的进程隐藏。
RootKit定义中,最后一个关键点是隐藏攻击者在系统中各项行为的存在,RootKit包括多种隐
文档评论(0)