1、近幾年來,互聯(lián)網(wǎng)發(fā)展迅速,統(tǒng)計數(shù)據(jù)顯示,截至2009年9月30日,世界上有超過17億的互聯(lián)網(wǎng)用戶。一些犯罪份子也同樣注意到了這一趨勢,不斷非法地對計算機系統(tǒng)進行攻擊滲透。
　　 對于惡意軟件特別是木馬的盜竊信息、非法控制電腦的行為,特別是對于采用驅(qū)動級Rootkit技術的惡意軟件隱藏行為,有效地檢測及防御它們就顯得尤為必要,然而由于Windows操作系統(tǒng)是不開源的,這對研究其內(nèi)部的原理增加了一定的難度。
　　 本文通過靜

2、態(tài)分析方法、動態(tài)分析方法相結(jié)合的方式,對基于Rootkit的隱藏技術進行了詳細的分析,對傳統(tǒng)的文件隱藏、進程隱藏、網(wǎng)絡通訊隱藏的代碼進行了技術探究,在此基礎上,對木馬的檢測方法進行了比較和改進,比較了常見的特征碼檢測、啟發(fā)式檢測、基于行為的檢測、完整性檢測方法的優(yōu)缺點,提出了基于cache(緩存)的隱藏文件檢測方法,對Rootkit技術實現(xiàn)進程隱藏的SSDTHOOK進行了有效地檢測并代碼實現(xiàn)。
　　 最后,對檢測思路進行了驗證,