Windows7遍历PspCidTable表检测隐藏进程
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ZHOU . LiRon M A e - n 2 g, W n Lo g
( irr, z o olg f eh ooy Q zo 2 0 0 C ia LbayQuh uC l eo T c n lg , uh u34 0 , hn) e ( fr t nadE gn eigC l g , u h uC l g f e h oo yQuh u34 0 ,hn) I omai n ier ol e Q z o ol e T cn lg , z o 2 0 0C i n o n n e e o a
se n t e o a t m aia l e e t p o e s s x e me t n wi d ws 7 o e ai n s s m h we h t t e tp a d meh d t u o t l d tc r c s e .E p r n s o n o p r t y t c y i o e s o d t a h ag r h a n me ae alp o e s s wi ih e ce c , n l d r e s s t a o k d f n t n h t n me ae lo i t c l e u r t l r c s e t h g f in y i cu e p o s e h t o e u c i st a u r t d m l h i c h o e p o e s so i cl n e e t e n l p c h n e e e aat es l r c se r r t e tr d i ok r e a ec a g d k r l t md e ̄ d e y n s n d o
有进程 ,包括通过挂钩枚举进程 的 函数或进入 内核 空间直接 修改 内核数据来达到 隐藏 自身 目的的进程 。
关键词:进程;Pp iT be sC d a l;指 针 ;内核 W i d ws g d c s Ci T b et e e t i d nPr c s e n o Er o ieP p d a l od t c d e o e s s 7 h
t b an me r d r s n o sPs d b e Theag rt m fEr o ii gPs CiTa l , n l rn p t e o o t i mo y a d e sofwi d ws7' pCi Ta l . l o h o g d cn p d b e f a l b gsu h i i y i
p o e s sicu e h d e r c s e . ep p ra ays st esr cu e o r c se ld i d n p o e s s Th a e n l e h tu tr fwi d ws7' Ps Ci T b e e p un st eh d n n o s p d a l, x o d m t e he
内核枚举进程的 A I P 或直接修 改 内核数据 ,让它们返 回 的数据始 终遗 漏病毒 自身进 程 的信 息 ,一般 的进程
访 问一个对象 的时候 ,如打开一个 文件 ,系统 就会 创 建一个对象 旬柄 ,通过这个句柄可 以对这个文件进 行 各种 的操作 。句柄和对象的联系 是通 过句柄表 来进 行 的 ,准确 来说一个句柄就是它所对 应的对象在 句柄表
Absr c :Ps CiTa e pr s r e l pon e f p o e s s a d t rad ,Er o i i p d a l a n me ae a l ta t p d bl e e v s a l it r o r c s e n h e s g d cng Ps Ci T b e c n e u r t l
计 算 机 系 统 应 用
h pl w- S .r. R :ww c . ogc l -a a
21 0 1年 第 Βιβλιοθήκη Baidu 0卷 第 9 期
Wid w 遍历 Pp iT be nos 7 sC d a l 表检测隐藏进程①
周利 荣 ,马文龙
( 浙江衢 州职 业技 术学院 图书 馆 ,衢州 3 4 0 ) 2 0 0 ( 浙江衢 州职 业技 术学院 信 息与工程学 院,衢 州 3 4 0 ) 2 0 0
Ke wo ds p o e s Ps d bl; itr Ke e y r : r c s ; pCiTa e pon e ; r l n
任何 病毒和木 马 的活动 都和 进程 有关 , 因此, 查看 系 统 中活动 的进程成 为我们检 测病 毒最直接 的方法 。
但 病毒进程 为了逃 避检测 ,常常进入 内核空 间,修 改
摘
要: sC d a l表 保存 着所有进 程和线程对象 的指针 , Pp iTbe 遍历 Pp iT be sCd a l 表可 以枚举所有进程包括 隐藏进程 。
分析 了 w n o s7 的 Pp i a l 的结构 ,论述 了 w n o s7的 Pp iT be表的内存地 址获取方法 ,遍 历 id w sCd be表 T id w sC d a l P p i al 表 的算法 ,最后给 出 自动检测的实现步骤及方法 。在 w n o s7操作系统上实验表 明可高效枚举 所 sCd be T id w
中 的索 引。通过句柄 ,可 以在句柄 表中找到对 象的指 针 ,通过指 针对对 象进行 操作。P p iTbe就是这样 sCd a l
检 测工具 自然就检 测不 到病毒进 程 了【app iT be l sCd a l 】
( irr, z o olg f eh ooy Q zo 2 0 0 C ia LbayQuh uC l eo T c n lg , uh u34 0 , hn) e ( fr t nadE gn eigC l g , u h uC l g f e h oo yQuh u34 0 ,hn) I omai n ier ol e Q z o ol e T cn lg , z o 2 0 0C i n o n n e e o a
se n t e o a t m aia l e e t p o e s s x e me t n wi d ws 7 o e ai n s s m h we h t t e tp a d meh d t u o t l d tc r c s e .E p r n s o n o p r t y t c y i o e s o d t a h ag r h a n me ae alp o e s s wi ih e ce c , n l d r e s s t a o k d f n t n h t n me ae lo i t c l e u r t l r c s e t h g f in y i cu e p o s e h t o e u c i st a u r t d m l h i c h o e p o e s so i cl n e e t e n l p c h n e e e aat es l r c se r r t e tr d i ok r e a ec a g d k r l t md e ̄ d e y n s n d o
有进程 ,包括通过挂钩枚举进程 的 函数或进入 内核 空间直接 修改 内核数据来达到 隐藏 自身 目的的进程 。
关键词:进程;Pp iT be sC d a l;指 针 ;内核 W i d ws g d c s Ci T b et e e t i d nPr c s e n o Er o ieP p d a l od t c d e o e s s 7 h
t b an me r d r s n o sPs d b e Theag rt m fEr o ii gPs CiTa l , n l rn p t e o o t i mo y a d e sofwi d ws7' pCi Ta l . l o h o g d cn p d b e f a l b gsu h i i y i
p o e s sicu e h d e r c s e . ep p ra ays st esr cu e o r c se ld i d n p o e s s Th a e n l e h tu tr fwi d ws7' Ps Ci T b e e p un st eh d n n o s p d a l, x o d m t e he
内核枚举进程的 A I P 或直接修 改 内核数据 ,让它们返 回 的数据始 终遗 漏病毒 自身进 程 的信 息 ,一般 的进程
访 问一个对象 的时候 ,如打开一个 文件 ,系统 就会 创 建一个对象 旬柄 ,通过这个句柄可 以对这个文件进 行 各种 的操作 。句柄和对象的联系 是通 过句柄表 来进 行 的 ,准确 来说一个句柄就是它所对 应的对象在 句柄表
Absr c :Ps CiTa e pr s r e l pon e f p o e s s a d t rad ,Er o i i p d a l a n me ae a l ta t p d bl e e v s a l it r o r c s e n h e s g d cng Ps Ci T b e c n e u r t l
计 算 机 系 统 应 用
h pl w- S .r. R :ww c . ogc l -a a
21 0 1年 第 Βιβλιοθήκη Baidu 0卷 第 9 期
Wid w 遍历 Pp iT be nos 7 sC d a l 表检测隐藏进程①
周利 荣 ,马文龙
( 浙江衢 州职 业技 术学院 图书 馆 ,衢州 3 4 0 ) 2 0 0 ( 浙江衢 州职 业技 术学院 信 息与工程学 院,衢 州 3 4 0 ) 2 0 0
Ke wo ds p o e s Ps d bl; itr Ke e y r : r c s ; pCiTa e pon e ; r l n
任何 病毒和木 马 的活动 都和 进程 有关 , 因此, 查看 系 统 中活动 的进程成 为我们检 测病 毒最直接 的方法 。
但 病毒进程 为了逃 避检测 ,常常进入 内核空 间,修 改
摘
要: sC d a l表 保存 着所有进 程和线程对象 的指针 , Pp iTbe 遍历 Pp iT be sCd a l 表可 以枚举所有进程包括 隐藏进程 。
分析 了 w n o s7 的 Pp i a l 的结构 ,论述 了 w n o s7的 Pp iT be表的内存地 址获取方法 ,遍 历 id w sCd be表 T id w sC d a l P p i al 表 的算法 ,最后给 出 自动检测的实现步骤及方法 。在 w n o s7操作系统上实验表 明可高效枚举 所 sCd be T id w
中 的索 引。通过句柄 ,可 以在句柄 表中找到对 象的指 针 ,通过指 针对对 象进行 操作。P p iTbe就是这样 sCd a l
检 测工具 自然就检 测不 到病毒进 程 了【app iT be l sCd a l 】