日期:2016-07-22 14:42
等等。一般可以通过rootkit技术来检测和应对。例如挂钩系统调用描述符表(SSDT)、中断描述符表(IDT)、IPR处理函数表、特定进程的IAT(导入地址表)等技术来实现。另外对调用过程打补丁也是比较常用的做法。通过这些手段,可以有效地挂钩调用的系统功能或一般的过程调用,实现对过程调用的登记,再结合数据分析和机器学习的手段可以侦知系统中异常的行为和非法进程,这在视频监控领域也很有意义。
挂钩对象/方式用途说明
IDT用于中断处理例程挂钩,可以登记和监控中断服务
SSDT用于系统调用例程挂钩,可以登记和监控系统调