浅析木马程序的隐藏
浅析木马程序的隐藏
作者:李慧慧, LI Hui-hui
作者单位:太原大学教育学院,山西,太原,030001
刊名:
太原大学教育学院学报
英文刊名:JOURNAL OF EDUCATION INSTITUTE OF TAIYUAN UNIVERSITY
年,卷(期):2008,26(3)
被引用次数:1次
参考文献(2条)
1.张尧学计算机操作系统教程 2002
2.K.赖斯多夫.H.亨德森.希望图书创作室Borland c++ Builder实用培训教程 1998
相似文献(10条)
1.学位论文孙宁COSIX V
2.X中多线程进程的实现与测试1999
在未来的操作系统中,基于微内核结构,采用多线程技术的操作系统将是主流.随着计算机硬件和网络技术的发展,并行计算、分布计算及其应用对操作系统提出了更高的要求.多线程技术是现代操作系统的主要特征之一.由于多个线程共享同一个进程的地址空间,使得线程创建、线程间的切换及通信的开销大大降低,适合在多CPU、多任务等并行环境下的处理.在COSIX V2.X中实现多线程是中国操作系统发展的方向.该文在剖析COSIX V2.X POS
API子系统和借鉴SunSoft Solaris 2.X操作系统的基础上,阐述了在COSIX V2.X中实现多线程的系统设计思想和具体的实现方法.在COSIX V2.X微内核的支持下,通过对DML的改造,在COSIX V2.X中实现了初始化线程上下文、创建线程、挂起线程、恢复运行、线程退出等系统调用,同时在DML中实现了LWP间的同步互斥.现已能够在一个进程中创建几十个线程同时运行.
2.期刊论文赵海廷进程、线程和纤程-武汉工程职业技术学院学报2004,16(4)
多任务需要多任务操作系统的支持,而多任务的实现有赖于具体的编程来实现.多任务有进程、线程和纤程三种实现方法.文中综合介绍了进程、线程和纤程实现多任务的相关技术并给出一个示例.
3.期刊论文王峥.娄渊胜远程线程注入技术在监控系统中的应用-计算机技术与发展2010,20(3)
监控系统要求具有实时性和隐藏性,远程线程注入技术能实现在Windows系统下进程的隐藏.将监控程序编译成动态链接库(DLL)文件,采用远程线程注入技术注入到系统进程运行,能有效地提高监控系统的安全性能.本文介绍了远程线程注入技术的原理,分析了基于远程线程注入的监控系统的关键技术和实现方法,通过设置定时器的方法解决了系统实时性需求,通过给出的远程线程注入技术解决了隐藏性需求.最后分析采用两级监控和应对安全检测技术来提高监控系统的安全性.
4.期刊论文周晓慧.王建中.李强.王申康现代操作系统中的进程、线程及在Windows OS下的应用-计算机应用研究2002,19(2)
讲述了操作系统中进程、线程的概念,进程、线程间的关系,引进线程的好处,线程间的同步,以及进程、线程在Windows操作系统下的应用.
5.学位论文何涛基于Windows NT的隐藏进程检测系统的研究与实现2009
随着计算机的普及和网络应用的飞速发展,主机与网络安全成为人们关注的重要问题,病毒木马与杀毒软件在相互超越中不断发展。越来越多的后门程序深入到系统内核隐藏自身,在用户不知不觉中窃取信息、收集数据、破坏系统。为了躲避杀毒软件的检测,后门程序必须采用隐藏技术,其中进程隐藏是最基本最重要也是危害最大的技术之一。
本文深入地讨论了隐藏进程常用的技术,分析了用户模式下的IAT挂钩、EAT挂钩和Inline挂钩以及内核模式下IDT挂钩和SSDT挂钩的原理,接着对使用直接内核对象操作(DKOM)隐藏进程技术进行了深入的剖析,分析了内核对象结构、DKOM的基本原理和技术实现。
在分析了隐藏进程所采用的各种技术手段的基础之上,针对当前检测工具的不足,设计并实现了一个多层次的通用、有效、智能的隐藏进程检测系统。该系统在设计上充分运用模块化思想,以便于模型的扩展与更新。在系统模型中采用多种检测手段,对各种方式隐藏的进程在不同的层次上给出检测结果,因此其不仅可以作为检测隐藏进程的工具,还可以用来分析后门程序采用的是何种隐藏技术。本文的核心部分是隐藏进程的检测技术,根据检测方法和层次的不同,可将检测分为用户模式下的隐藏进程检测,基于内存扫描的钩子检测,基于内核进程链表的检测,并在前人研究的基础上,对系统内核结构进行了不断的探索,改进了基于线程链表的检测,实现了基于线程调度的检测,提高了通用性。同时对另一种进程伪隐藏的DLL注入技术进行了深入的研究,并给出了在内核模式下监控远程线程的方法。通过详细的实验对系统进行了多个实例测试,并给出了测试结果和评价,实验结果表明该系统对实验对象都产生了预期的结果。
最后,本文对全篇工作进行了总结,并对今后的研究工作提出了展望。
6.期刊论文梁晓.李毅超.LIANG Xiao.LI Yi-Chao基于线程调度的进程隐藏检测技术研究-计算机科学
2006,33(10)
基于线程调度的进程隐藏检测技术,利用操作系统进程的资源分配和调度机理,通过直接扫描系统内核中的活动线程来逆向检测实际存在的进程列表信息.该方法可以检测出当前常规安全检测工具不能发现的系统恶意程序的入侵行为.和现有的进程隐藏检测方法相比,该检测方式克服了各种缺陷,具有更加彻底可靠的安全机制,可以检测出当前所有类型的进程隐藏.
7.学位论文何冰嵌入式实时进程管理及其对实时数据库的支持2004
ARTs-OS是由华祥软件研究开发中心研制开发的一个嵌入式实时操作系统,进程管理模块是其中的关键所在,它的微型性、实时性、可预测性和可靠性是满足嵌入式实时数据库ARTs-EDB对于可嵌入性、实时性、数据完整性要求的保证.ARTs-OS实现了可动态扩展的整体微内核和核外多进程多线程的实时进程模型.ARTs-OS的微内核只具备内核最基本的功能,其他功能可以通过静态配置或者动态加载的方式进行扩展,并且没有线程的概念,因此体积小巧、功能完善、执行高效.而核外的多进程多线程模型兼顾了多线程的运行效率和多进程地址空间的保护,并且较好的支持了ARTs-EDB的嵌套事务模型.ARTs-OS采用的基于线程的优先级驱动可抢占调度模型是ARTs-EDB事务调度的基础,它负责选择优先级最高的线程使之获得CPU,这种调度模型系统开销小,执行效率高,具有一定的可预报性.另外,ARTs-OS的实时调度器引入了线程的提交退出和夭折退出的概念,直接支持了ARTs-EDB嵌套事务的提交规则和夭折规则.ARTs-OS可选的任务接纳控制模块负责为任务分派优先级和对任务集进行可调度性分析.在为任务分派优先级时,针对ARTs-EDB中的混合实时事务,ARTs-OS提出了混合实时进程的概念,并在此基础上提出了延期单调速率优先级分派算法及其可调度性分析公式.任务集的DRM算法可调度性分析提高了任务集的可调度性.进程管理模块的性能测试结果表明,ARTs-OS运行的时间精度可以达到微秒级,符合ARTs-EDB对时间精度的要求,且其部分性能优于QNX和WinCE.
根据操作系统的定义,进程是系统资源管理的最小单位,线程是程序执行的最小单位.线程和进程十分相似,本文从不用角度介绍进程与线程的区别.
9.学位论文覃中基于多核系统的线程调度2009
微处理器自诞生以来,性能的提升主要是通过提高主频来实现的,而主频的提升要求大幅度增加晶体管的数量。巨大的晶体管数量则意味着巨大的能耗,随之带来的散热问题也日益凸显。当处理器性能受到半导体工艺限制的时候,研究人员将目光投到了处理器的体系结构,提出了多核处理器的概念。多核处理器已经成为微处理器发展的趋势,使用多核技术可以使微处理器的性能得到极大的提高,但同时也对调度策略提出了更高的要求。
本文首先分析了课题研究的背景和意义,简要介绍了进程、线程和多线程以及在单处理器调度的基本理论知识。介绍了多核处理器硬件相关的主要实现技术,包括同时多线程(Simultaneous Multithreading,SMT),片上多处理器(ChipMultiProcessor,CMP),片上多线程(Chip Multiple Threading,CMT);并分析了目前多核线程调度的研究现状。
其次,本文详细研究了Linux2.6内核的O(l)调度算法及其具体实现。O(1)调度器中增加了数据结构runqueue,就绪队列被分成活动队列和过期队列,结合bitmap口不必遍历整个就绪队列,查找next进程的时间复杂度降为O(1),进程运行时间片的重新分配更及时;动态优先级的计算过程更简单。详细分析了在Linux中的SMP的具体实现,着重讨论了Linux负载均衡系统。然后指出了Linux2.6调度算法的不足:1.因为在处理器间迁移不同进程的代价是不尽相同的,所以在迁移进程的时候,应该适当考虑进程的特点。2.调度器给处理器分配进程的时候应该考虑进程的相关性。3.当系统的负载不平衡且很轻微的时候,不一定需要平衡负载。
最后,提出一种负载均衡的通用模型,使用四元组
10.期刊论文何志.范明钰.罗彬杰.HE Zhi.FAN Ming-yu.LUO Bin-jie基于远程线程注入的进程隐藏技术研究-计
算机应用2008,28(z1)
Windows系统平台下的进程隐藏方法中远程线程注入技术比较常见,但常规的远程线程注入技术难以避过安全检测技术的检测.针对于此,提出了基于APC机制的远程线程注入技术,通过利用APC机制实现新的攻击策略,以达到进程隐藏的目的.并在分析技术原理基础上,针对该技术改进了安全检测方案.在实际检测中该攻击方法隐蔽性更强,能有效对抗常规的安全检测技术.
引证文献(1条)
1.孔令华.宋致虎木马隐藏技术分析[期刊论文]-电脑知识与技术 2010(12)
本文链接:https://www.wendangku.net/doc/6a10445104.html,/Periodical_tyjyxyxb200803031.aspx
授权使用:燕山大学(ysdx),授权号:21c9d707-42a2-4379-a9d6-9ea00111e5ea
下载时间:2011年3月8日