CAJ | 학술논문

利用进程对象特征搜索内存能够检测到隐藏进程.但是,借助不断发展的Rootkit,恶意程序可以修改内存地址映射关系绕过虚拟内存扫描,或篡改进程信息使检测特征失效,从而增加了搜索检测的难度.针对此问题,提出一种基于多特征匹配的隐藏进程检测方法:利用页表项循环补丁技术直接扫描物理内存,得到完整可信的内存信息；选取多个进程数据结构字段构建检测特征模板,提高特征自身的可靠性；引入相似度进行匹配防止单特征失效而导致的漏检.实验结果表明,该方法对隐藏进程具有较好的检测效果.
이용진정대상특정수색내존능구검측도은장진정.단시,차조불단발전적Rootkit,악의정서가이수개내존지지영사관계요과허의내존소묘,혹찬개진정신식사검측특정실효,종이증가료수색검측적난도.침대차문제,제출일충기우다특정필배적은장진정검측방법:이용혈표항순배보정기술직접소묘물리내존,득도완정가신적내존신식；선취다개진정수거결구자단구건검측특정모판,제고특정자신적가고성；인입상사도진행필배방지단특정실효이도치적루검.실험결과표명,해방법대은장진정구유교호적검측효과.