论文部分内容阅读
在内存池中搜索被rootkit隐藏的对象,是检测使用DKOM技术的rootkit的有效手段,而如何抽取和建立对象的特征码是内存池搜索的前提条件和关键步骤。本文首先提出了一个抽取特征码的方法,用该方法抽取的特征码具有抗攻击性,使得漏报的理论值为零。然后,进一步探讨了如何减少误报的方法。将上述方法和差异检测技术结合起来,可对使用DKOM技术隐藏的rootkit对象进行有效的检测。