高级Windows 2000 Rootkit检测技术3

istHead
　　*pKiWaitInListHead
　　*pKiWaitOutListHead
　　
　　后两个是处于"等待"状态的线程链头。他们之间稍有不同，但对我们来说并不重要。
　　从上面的信息我们可以找到一种检测隐藏进程的方法。及读取线程分派器使用的数据结构，而不是PsActiveProcessList。
　　当检测rootkit时我们应该尽可能的触及更底层的内核数据结构。
　　有一点应该注意，直接从线程分派器使用的链中删除要隐藏的进程是不可能的，因为隐藏的进程将分配不到CPU使用时间。
　　
　　更改执行路径的rootkit
　　这类的rootkit较为普及。他们通过修改或增加内核或系统DLL中的指令来达到目的。检测这类rootkit的问题是，我们不知道rootkit在什么地方做了那些修改。它可以勾连DLL中的函数，系统服务列表(System Service Table)，改变内核函数的内容或修改内核中一些奇怪的函数指针。
　　
　　执行路径分析(Execution Path Analysis)
　　EPA关注这样一个事实：如果入侵者通过修改执行路径隐藏了一些对象，那么当调用一些典型的系统和库的函数时，系统将运行一些多余的指令。
　　举个例子，如果入侵者为

页码：[1] [2] [3] [4] [5] [6] [7] [8] [9] 第3页、共9页

设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明