科技信息
科技信息
과기신식
SCIENTIFIC & TECHNICAL INFORMATION
2008年
31期
86-87
,共2页
内核Rootkit侦测%挂钩%遍历活动进程列表
內覈Rootkit偵測%掛鉤%遍歷活動進程列錶
내핵Rootkit정측%괘구%편력활동진정렬표
本文在简单阐述了Rootkit隐藏的机制后,提出了一种侦测Rootkit隐藏的算法.最后演示了直接遍历内核活动进程列表(ActiveProcessList)和内核调度者ETHREAD列表来侦测隐藏的Rootkit.该方法还能通过遍历内核的PsLoadedModuleList来侦测出通过挂钩本机API函数ZwQuerySystemInformationy隐藏的内核模块和内核驱动.
本文在簡單闡述瞭Rootkit隱藏的機製後,提齣瞭一種偵測Rootkit隱藏的算法.最後縯示瞭直接遍歷內覈活動進程列錶(ActiveProcessList)和內覈調度者ETHREAD列錶來偵測隱藏的Rootkit.該方法還能通過遍歷內覈的PsLoadedModuleList來偵測齣通過掛鉤本機API函數ZwQuerySystemInformationy隱藏的內覈模塊和內覈驅動.
본문재간단천술료Rootkit은장적궤제후,제출료일충정측Rootkit은장적산법.최후연시료직접편력내핵활동진정렬표(ActiveProcessList)화내핵조도자ETHREAD렬표래정측은장적Rootkit.해방법환능통과편력내핵적PsLoadedModuleList래정측출통과괘구본궤API함수ZwQuerySystemInformationy은장적내핵모괴화내핵구동.