计算机工程与应用
計算機工程與應用
계산궤공정여응용
COMPUTER ENGINEERING AND APPLICATIONS
2012年
6期
102-105
,共4页
SSDT钩挂%可信任地址空间%KeServiceDescriptorTable%二次跳转
SSDT鉤掛%可信任地阯空間%KeServiceDescriptorTable%二次跳轉
SSDT구괘%가신임지지공간%KeServiceDescriptorTable%이차도전
对传统SSDT钩挂(SSDT Hook)及其检测方法进行了分析,同时分析了一种经过了二次跳转的SSDT钩挂方法.该方法使用了MOV指令跳转到可信任地址空间,再二次跳转到恶意代码中,突破了传统主动防御系统的JMP指令检测法和指令跳转分析法.最后,给出了一种针对该SSDT Hook的检测方法,重点对传统检测方法中的SSDT寻址方法进行了改进,取得了较好的效果.
對傳統SSDT鉤掛(SSDT Hook)及其檢測方法進行瞭分析,同時分析瞭一種經過瞭二次跳轉的SSDT鉤掛方法.該方法使用瞭MOV指令跳轉到可信任地阯空間,再二次跳轉到噁意代碼中,突破瞭傳統主動防禦繫統的JMP指令檢測法和指令跳轉分析法.最後,給齣瞭一種針對該SSDT Hook的檢測方法,重點對傳統檢測方法中的SSDT尋阯方法進行瞭改進,取得瞭較好的效果.
대전통SSDT구괘(SSDT Hook)급기검측방법진행료분석,동시분석료일충경과료이차도전적SSDT구괘방법.해방법사용료MOV지령도전도가신임지지공간,재이차도전도악의대마중,돌파료전통주동방어계통적JMP지령검측법화지령도전분석법.최후,급출료일충침대해SSDT Hook적검측방법,중점대전통검측방법중적SSDT심지방법진행료개진,취득료교호적효과.