永久型Windows Rootkit检测技术
作者: 天津大学计算机学院 天津300072 北京工业大学计算机学院 北京100022
摘要:永久型Rootkit可以长期隐秘在系统中,并隐藏恶意代码,威胁计算机的安全。该文应用cross-view方法构建监控系统,采用文件系统过滤驱动与钩挂系统服务分析系统行为,判定系统是否已被装入永久型Windows Rootkit,并完成对经典Rootkit—hacker defender及它所保护的恶意程序的检测。由于该检测技术使用底层驱动监测,不依赖特征码,因此对内核级和将来出现的Rootkit具有良好的检测效果。
注:因版权方要求,不能公开全文,如需全文,请咨询杂志社
