%0 Journal Article
%T 基于劫持内核入口点的隐藏进程检测方法
%A 冯帆
%A 刘昊辰
%A 潘丽敏
%A 罗森林
%A 闫广禄
%J 北京理工大学学报
%D 2015
%R 10.15918/j.tbit1001-0645.2015.05.021
%X 针对现有的隐藏进程检测方法存在易规避、兼容性差、对操作系统性能影响较大等问题,提出了一种基于劫持内核入口点的隐藏进程检测方法. 该方法根据进程与内核交互的行为特征,劫持用户态进入内核态的3类入口:KiFastCallEntry、IDT和GDT,通过语义重构建立内核态进程列表,结合交叉视图检测隐藏进程. 实验表明,与其他进程检测方法相比,该方法可以检测目前各种Rootkit隐藏进程方法;支持多种Windows操作系统版本,且对操作系统的性能影响较小;准确性高,兼容性好,实用价值高
%K 隐藏进程检测 交叉视图 Rootkit 隐藏进程
%U http://journal.bit.edu.cn/zr/ch/reader/view_abstract.aspx?file_no=20150521&flag=1