基于主機的惡意程序檢測與取證方法研究.pdf

1、惡意程序是威脅計算機與網(wǎng)絡(luò)系統(tǒng)安全的一個重要因素，已成為計算機犯罪的一種新的演化形式。隨著計算機和互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，惡意程序的傳播速度、傳播范圍以及破壞程度日益增加。為了能夠在目標(biāo)主機中長期潛伏，惡意程序經(jīng)常使用一些隱藏技術(shù)隱藏自身的相關(guān)信息，躲避用戶和檢測工具的檢查。Rootkit 就是一種被廣泛用于隱藏攻擊者痕跡的技術(shù)。
　　 針對計算機與網(wǎng)絡(luò)安全日益突出的問題，本文開展了相關(guān)研究，主要工作是：
　　 (1)在研

2、究了Windows分層結(jié)構(gòu)，以及從應(yīng)用程序到內(nèi)核的一系列調(diào)用過程的基礎(chǔ)上，分析了Rootkit 技術(shù)的實現(xiàn)原理，實例分析了對進(jìn)程及其模塊信息、文件信息等進(jìn)行隱藏的多種不同的隱藏技術(shù)，并針對這些隱藏技術(shù)，研究了與之相應(yīng)的檢測技術(shù)和方法。
　　 (2)提出了多對象多方式的惡意程序檢測模型，針對多種不同的檢測對象采用多技術(shù)途徑實施檢測取證，把不同途徑得到的數(shù)個對象的檢測結(jié)果進(jìn)行綜合分析，從而更好地解決某些未知的隱藏技術(shù)。