基于HSC的进程隐藏检测技术

• 全文链接
• 请求原文

作   者：

何志;  范明钰; 

作者机构：

电子科技大学计算机科学与工程学院; 

关键词：

截获系统调用;  进程隐藏;  RootKit; 

期刊名称：

计算机应用

基金项目：

密码芯片安全性测试原理和方法

i s s n：

1001-9081

年卷期：

2008 年 28 卷 07 期

页   码：

1772-1775

摘   要：

介绍了目前Windows下常见的进程隐藏检测技术,提出了基于截获系统调用(HSC)的进程隐藏检测技术,利用隐藏进程的行为特征,通过截获系统调用建立完整的进程列表来检测隐藏进程,并针对该技术对抗RootKit的攻击提出了改进。该种隐藏进程的检测方法十分可靠,可以检测出常规安全检测工具不能发现的系统恶意程序。