简介:当前.Linux中已经存在的各种Rootkits,大都是借助可加载内核模块(LKM)来实现的.包括利用IDT实现系统调用的劫持技术来实现文件隐藏、进程隐藏、网络连接的隐藏及模块本身的隐藏等。但这种借助LKM实现的Rootkits,需要依赖操作系统内核模块的支持,若在目标机内核中并没有实现模块支持,那么这种Rootkits是无法加载到目标机中的。大家应该知道,在一台Linux计算机在编辑定制内核时,用户是可以选择是否添加可加载内核模块的支持的,当不选择此支持时,LKM是无效的。而且当前针对LKM实现的Rootkits已经很容易的被各种Rootkits检测工具检测出来,如完整性检测技术、针对攻击系统调用的检测技术等。
简介:摘要:恶意代码在电子信息系统中造成了严重的安全威胁,因此恶意代码的检测与防范策略至关重要。本文通过分析当前电子信息系统中常见的恶意代码类型及其传播方式,探讨了基于特征检测、行为分析以及机器学习等技术的恶意代码检测方法,并结合实际案例探讨了恶意代码防范策略。研究发现,综合利用多种检测手段并结合有效的防范策略,可以提高电子信息系统对恶意代码的识别与防范能力,保障系统安全稳定运行。