CAJ | 학술논문

针对目前基于隐藏的进程保护方法容易被Rootkit检测工具检测出而失效的情况,提出了一种基于直接内核对象操作(DKOM)的进程伪装保护方法.该方法将进程隐藏方法中较为常用的DKOM技术与传统的伪装技术相结合,通过直接修改操作系统内核空间中存储进程相关信息的数据结构,使进程在任务管理器中显示为一些系统进程,以此达到保护进程的目的.进程信息的修改涉及内核的操作,由Windows驱动实现,该驱动兼容Windows 2000以上多个版本的操作系统,具有广泛适用性.实验结果显示,经过该方法修改后,进程查看工具查看到的进程信息与正常的系统进程没有差别.伪装效果较好,用户无法发觉,Rootkit检测工具也不会提示异常.验证了基于DKOM的进程伪装保护方法的有效性.
침대목전기우은장적진정보호방법용역피Rootkit검측공구검측출이실효적정황,제출료일충기우직접내핵대상조작(DKOM)적진정위장보호방법.해방법장진정은장방법중교위상용적DKOM기술여전통적위장기술상결합,통과직접수개조작계통내핵공간중존저진정상관신식적수거결구,사진정재임무관리기중현시위일사계통진정,이차체도보호진정적목적.진정신식적수개섭급내핵적조작,유Windows구동실현,해구동겸용Windows 2000이상다개판본적조작계통,구유엄범괄용성.실험결과현시,경과해방법수개후,진정사간공구사간도적진정신식여정상적계통진정몰유차별.위장효과교호,용호무법발각,Rootkit검측공구야불회제시이상.험증료기우DKOM적진정위장보호방법적유효성.