龙海
- 作品数:4 被引量:20H指数:3
- 供职机构:南京大学计算机科学与技术系更多>>
- 发文基金:国家高技术研究发展计划江苏省高技术研究计划项目国家自然科学基金更多>>
- 相关领域:自动化与计算机技术自然科学总论更多>>
- 系统服务Rootkits隐藏行为分析被引量:1
- 2008年
- 用挂钩系统服务来实现进程、文件、注册表、端口等对象的隐藏是最常见的rootkits实现方式。然而大量的检测方法并不能将rootkits和其所隐藏的对象对应起来。本文分析了用户层和内核层系统服务rootkits的隐藏行为,建立了6种模型。在检测出系统服务rootkits的基础上,提出了一种分析其二进制执行代码,匹配模型,找出隐藏对象的方法,实现了一个隐藏行为分析原型。实验结果证明这种隐藏行为分析方法能有效分析出隐藏对象。
- 龙海郝东白黄皓
- 关键词:ROOTKITS控制流图数据流图函数调用图
- Windows消息钩子的拦截和清除被引量:5
- 2009年
- 为了防止恶意程序通过消息钩子的方式将恶意代码插入到其它进程中去,分析了Windows操作系统中系统服务的调用机制以及消息钩子机制,提出了一种在操作系统内核模式下拦截消息钩子和直接对消息钩子内核对象进行清除的方法。与现有方法相比能够有效的在操作系统内核模式下拦截和清除消息钩子,防止被恶意程序绕过,从而有效地阻止了恶意代码的插入。实验结果表明,该方法能够有效的阻止进程中被注入恶意代码。
- 郭津之龙海黄皓
- 关键词:消息钩子拦截
- Windows下系统服务Rootkits的检测与恢复被引量:11
- 2008年
- Rootkits是入侵者隐藏踪迹和保留访问权限的工具集。修改操作系统内核的Rootkit称之为内核Rootkit,使操作系统本身变得不可信任,造成极大的安全隐患。针对系统服务的Rootkits是内核中最常见的Rootkits。分析了当前Windows下系统服务各种Rootkits,提出了一种利用驱动程序,无需符号文件的检测和修复方法,能准确检测出Windows下各种系统服务Rootkits并且进行恢复。
- 龙海郝东白黄皓
- 关键词:后门内核钩子重定位
- 基于正则表达式的WebMail监控与审计被引量:3
- 2008年
- 对WebMail的监控是对电子邮件监控的一个难点。提出并实现了一种基于正则表达式的邮件监控系统。该系统使用Winsock2 SPI技术,截取本地计算机发送的网络数据包,采用正则表达式对发送数据包的内容进行实时分析,判断其中是否含有发送Email的行为,通过在线拦截和离线审计相结合,实现了对WebMail的监控与审计。实验测试的结果验证了该系统的可行性和有效性。
- 张诚郝东白龙海黄皓
- 关键词:正则表达式服务提供者接口审计
