系统服务rootkits隐藏行为分析

用挂钩系统服务来实现进程、文件、注册表、端口等对象的隐藏是最常见的rootkits实现方式。然而大量的检测方法并不能将rootkits和其所隐藏的对象对应起来。本文分析了用户层和内核层系统服务rootkits的隐藏行为，建立了6种模型。在检测出系统服务rootkits的基础上，提出了一种分析其二进制执行代码，匹配模型，找出隐藏对象的方法，实现了一个隐藏行为分析原型。实验结果证明这种隐藏行为分析方法能有效分析出隐藏对象。