论文部分内容阅读
利用进程对象特征搜索内存能够检测到隐藏进程。但是,借助不断发展的Rootkit,恶意程序可以修改内存地址映射关系绕过虚拟内存扫描,或篡改进程信息使检测特征失效,从而增加了搜索检测的难度。针对此问题,提出一种基于多特征匹配的隐藏进程检测方法:利用页表项循环补丁技术直接扫描物理内存,得到完整可信的内存信息;选取多个进程数据结构字段构建检测特征模板,提高特征自身的可靠性;引入相似度进行匹配防止单特征失效而导致的漏检。实验结果表明,该方法对隐藏进程具有较好的检测效果。