隱藏技術(shù)論文范文
前言:我們精心挑選了數(shù)篇優(yōu)質(zhì)隱藏技術(shù)論文文章,供您閱讀參考。期待這些文章能為您帶來啟發(fā),助您在寫作的道路上更上一層樓。
第1篇
關(guān)鍵詞:進(jìn)程隱藏 Windows server 2008 DKOM技術(shù) WDM驅(qū)動編程
中圖分類號:TP3 文獻(xiàn)標(biāo)識碼:A 文章編號:1007-9416(2013)03-0110-02
1 引言
Windows Server 2008是專為強(qiáng)化新一代IPv6網(wǎng)絡(luò)、應(yīng)用程序和Web服務(wù)的功能而設(shè)計的服務(wù)器系統(tǒng)。該系統(tǒng)雖是建立在Windows Server先前版本的成功與優(yōu)勢上,但是也因此繼承了Windows系列操作系統(tǒng)的一些可能被病毒所利用的傳統(tǒng)特征,如進(jìn)程隱藏機(jī)制。所謂進(jìn)程隱藏就是在用戶不知情的情況下悄悄執(zhí)行自己的代碼。惡意代碼通常通過隱藏自身進(jìn)程信息,在用戶察覺不到的情況下植入破壞性代碼或竊取用戶保密信息。進(jìn)程隱藏,一直是病毒、木馬程序設(shè)計者不斷探求的重要技術(shù),因?yàn)檫@些進(jìn)程都需要很好的隱藏和保護(hù)自身信息。
當(dāng)前,伴隨著Windows服務(wù)器系統(tǒng)功能的日益發(fā)展與完善,木馬技術(shù)也緊跟發(fā)展,使得木馬在系統(tǒng)中更具隱藏性,更具危害性。本文在此背景下研究進(jìn)程隱藏機(jī)制,將有助于進(jìn)一步了解和掌握木馬技術(shù)的發(fā)展方向,有助于采取更有力的應(yīng)對措施。了解進(jìn)程隱藏技術(shù),是開發(fā)防病毒和木馬軟件的基礎(chǔ),同時也助于促進(jìn)信息安全技術(shù)的發(fā)展。
有些情況下,進(jìn)程隱藏也是某些類型程序所需要的功能,如某些系統(tǒng)安全控制程序,例如網(wǎng)絡(luò)流量監(jiān)控系統(tǒng),這種程序需要在服務(wù)器系統(tǒng)中長駐,不能隨意停止和卸載,這則要求進(jìn)程能有效保護(hù)和隱藏自己,以防止用戶惡意刪除和卸載。在當(dāng)前企業(yè)中要求提供高度安全的網(wǎng)絡(luò)基礎(chǔ)架構(gòu),以提高和增加技術(shù)效率與價值的大趨勢下,分析此背景下木馬實(shí)現(xiàn)的關(guān)鍵技術(shù),必將具有重要的的現(xiàn)實(shí)意義。
2 Windows系列操作系統(tǒng)中的進(jìn)程隱藏技術(shù)
進(jìn)程是程序運(yùn)行的基礎(chǔ),因此檢查進(jìn)程也就成了查殺木馬的關(guān)鍵環(huán)節(jié),所以,對木馬設(shè)計者而言,成功隱藏自己的進(jìn)程信息,就是其最重要的基礎(chǔ)工作。隨著木馬技術(shù)的不斷發(fā)展,進(jìn)隱藏技術(shù)也在不斷發(fā)更新。
進(jìn)程隱藏技術(shù)在不斷的發(fā)展中,在Win NT架構(gòu)服務(wù)器時代,第一代進(jìn)程隱藏技術(shù)就已經(jīng)出現(xiàn)。早在Windos 98系統(tǒng)當(dāng)中,微軟公司就提供了一種將進(jìn)程注冊為服務(wù)的方法,這種技術(shù)稱為Pegister Service Process。
由于這種隱藏技術(shù)存在嚴(yán)重的版本限制性,從而引發(fā)了第二代進(jìn)程隱藏技術(shù)的研究,稱之為進(jìn)程插入。利用的技術(shù)有DLL插入技術(shù)、遠(yuǎn)程線程插入技術(shù)等,這種隱藏技術(shù)較之第一代更為高級和隱藏。繼進(jìn)程插入技術(shù)之后,新的進(jìn)程隱藏技術(shù)又飛速發(fā)展,稱為HOOK API技術(shù)。Windows系統(tǒng)給開發(fā)人員提供了幾種列出系統(tǒng)中所有的進(jìn)程、模塊與驅(qū)動程序的方法,最常見的也是最常用的方法就是調(diào)用系統(tǒng)API;Create Tool Help 32 Snapshot、Enum Process、Enum Process Modules等,它們是獲取進(jìn)程列表的第一層手段,調(diào)用這幾個API函數(shù),就可以得帶系統(tǒng)當(dāng)前運(yùn)行進(jìn)程的返回列表。
這幾個API在接到請求后會調(diào)用ZW Query System Information,Zw Query Ststem Information,會調(diào)用Ki System Service切入內(nèi)核進(jìn)入ring0權(quán)限,然后自SSDT表(System Service Descriptor Table,系統(tǒng)服務(wù)分配表)中查得Nt Query System Information的地址,并調(diào)用其指向的實(shí)際代碼,其運(yùn)行原理是從系統(tǒng)的數(shù)據(jù)結(jié)構(gòu)中取相應(yīng)的數(shù)據(jù),再返回給調(diào)用者。
在此過程中,在任何一個環(huán)節(jié)上進(jìn)行攔截都可以實(shí)現(xiàn)隱藏進(jìn)程的目的,在切入內(nèi)核進(jìn)入root0權(quán)限前進(jìn)行HOOK,稱為用戶模式HOOK,而在之后進(jìn)行HOOK則是內(nèi)核模式HOOK,后者需要驅(qū)動才能實(shí)現(xiàn)。它比前幾種技術(shù)更為成熟。這種技術(shù)使得木馬不必將自己插入到其他進(jìn)程中,即可實(shí)現(xiàn)自身信息的隱藏。
更為高級的技術(shù)是DKOM―直接內(nèi)核對象修改技術(shù),是由木馬程序?qū)⒆陨淼倪M(jìn)程信息從Windows服務(wù)器系統(tǒng)用以記錄進(jìn)程信息的“進(jìn)程鏈表”中刪除,這樣進(jìn)程管理工具就無法從“進(jìn)程鏈表”中獲得木馬的進(jìn)程信息。Windows服務(wù)器系統(tǒng)枚舉進(jìn)程使用的是活動進(jìn)程列表Ps Active process list,所有結(jié)點(diǎn)通過EPROCESS結(jié)構(gòu)中的Active Process Links 雙向指針鏈在一起。EPROCESS結(jié)構(gòu)中有個雙向鏈表LIST_ENTRY結(jié)構(gòu),這個結(jié)構(gòu)有兩個DWORD指針成員FLINK和BLINK,這兩個指針分別指向當(dāng)前進(jìn)程的前一個和后一個進(jìn)程。要隱藏某個進(jìn)程,只需修改對應(yīng)ERPOCESS的Active Process Links,將其從鏈表中摘除。只要把當(dāng)前進(jìn)程的前一個進(jìn)程的BLINK指向當(dāng)前進(jìn)程后一個進(jìn)程的FLINK,再把當(dāng)前進(jìn)程后一個進(jìn)程的FLINK指向當(dāng)前進(jìn)程前一個進(jìn)程的FLINK。由于系統(tǒng)執(zhí)行線程調(diào)度使用的是其他的數(shù)據(jù)結(jié)構(gòu),因此這種修改不會影響進(jìn)程運(yùn)行。
3 對DKOM進(jìn)程隱藏技術(shù)的模擬與驗(yàn)證
在研究的各種進(jìn)程隱藏技術(shù)中,最有效的是DKOM(Direct Kernel Object Manipulation,DKOM 直接內(nèi)核對象修改技術(shù))。這種技術(shù)繞過了對象管理器,直接對內(nèi)核對象進(jìn)行操作,從而繞過了所有關(guān)于對象的訪問檢查,徹底實(shí)現(xiàn)了進(jìn)程隱藏。由于這種技術(shù)直接操作內(nèi)核對象,需要ring0的運(yùn)行權(quán)限,所以必須通過WDM驅(qū)動開發(fā)來實(shí)現(xiàn)。
在實(shí)現(xiàn)過程中,作者首先配置了Windows Server 2008平臺上的驅(qū)動開發(fā)環(huán)境;然后對驗(yàn)證程序進(jìn)行了詳細(xì)設(shè)計,明確每個模塊需要實(shí)現(xiàn)的功能;最后針對不同的模塊一一探尋實(shí)現(xiàn)機(jī)理,如在編碼的過程中,反匯編了重要的內(nèi)核函數(shù)Ps Get Current Process,并利用WinDBG等工具剖析了Windows內(nèi)核中重要的數(shù)據(jù)結(jié)構(gòu),從而深入揭示了改函數(shù)返回當(dāng)前進(jìn)程結(jié)構(gòu)EPROCESS的原因。
即使隱藏了進(jìn)程信息,管理員通過查找驅(qū)動文件信息還是可能發(fā)現(xiàn)該進(jìn)程。本研究在實(shí)現(xiàn)進(jìn)程隱藏的基礎(chǔ)上,進(jìn)一步實(shí)現(xiàn)了驅(qū)動的隱藏,利用的原理也是直接內(nèi)核修改,從加載的模塊雙向鏈表中摘除驅(qū)動信息。
4 結(jié)語
利用DKOM技術(shù)編碼隱藏進(jìn)程之后,利用Windows server 2008中的資源管理器、Process Explorer、EF Process Manager、Antiy Ports、Process Viewer、Proscan六種主流的進(jìn)程查看工具分別進(jìn)行查看,都沒有查看到被隱藏的進(jìn)程。研究結(jié)果表明,這種技術(shù)可以很好地實(shí)現(xiàn)隱藏。
研究進(jìn)程隱藏技術(shù)對于信息安全領(lǐng)域有非常重要的作用,通過研究內(nèi)核層面的進(jìn)程隱藏機(jī)制可以保障主機(jī)多種安全,如限制內(nèi)核模塊的任意加載,防止黑客插入惡意模塊傳播病毒、留下后門、修改重要文件和銷毀攻擊痕跡,防止部分系統(tǒng)功能被非法終止等。研究進(jìn)程隱藏機(jī)制可大大增強(qiáng)主機(jī)的安全性,使用戶在使用工程中避免惡意代碼的破壞。信息安全將是未來發(fā)展的一個重點(diǎn),攻擊和偵測都有一個向底層靠攏的趨勢。未來病毒和反病毒底層化是一個逆轉(zhuǎn)的事實(shí),這些方面的研究可以在保護(hù)服務(wù)器內(nèi)關(guān)鍵信息免遭黑客侵害、積極保護(hù)用戶的數(shù)據(jù)的方面為研究人員提供寶貴的經(jīng)驗(yàn)。
參考文獻(xiàn)
[1]張新宇,卿斯?jié)h,馬恒太,張楠,孫淑華,蔣建春.特洛伊木馬隱藏技術(shù)研究[J]. 通信學(xué)報. 2006(07).
[2]劉穎.Windows環(huán)境惡意代碼檢測技術(shù)研究[D].電子科技大學(xué),2007.
第2篇
即你的網(wǎng)頁與用戶搜索的關(guān)鍵詞是否相關(guān),Google根據(jù)你網(wǎng)頁的關(guān)鍵詞密度來確定
第二定律人氣質(zhì)量定律
類似于科學(xué)引文索引的機(jī)制,說白了就是誰的論文被引用次數(shù)多,誰就被認(rèn)為是權(quán)威,論文就是好論文。這個思路移植到網(wǎng)上就是誰的網(wǎng)頁被鏈接次數(shù)多,那個網(wǎng)頁就被認(rèn)為是質(zhì)量高,人氣旺。在加上相應(yīng)的鏈接文字分析,就可以用在搜索結(jié)果的排序上了。這就引出了Google優(yōu)化的第二定律:人氣質(zhì)量定律。根據(jù)這一定律,Google搜索結(jié)果的相關(guān)性排序,并不完全依賴于詞頻統(tǒng)計,Google優(yōu)化更多地依賴于超鏈分析
第三定律自信心定律
人氣質(zhì)量定律解決的還是一個技術(shù)層面的問題,然而Google從誕生的那一天起,從來就不是一個純技術(shù)現(xiàn)像,它融合了技術(shù),文化,市場等各個層面的因素。解決搜索引擎公司的生存和發(fā)展問題需要Google的第三定律–自信心定律。
Google優(yōu)化作弊手法:一:隱藏文本/隱藏鏈接
隱藏文本內(nèi)容隱藏鏈接
二:網(wǎng)頁與Google描述不符
一般發(fā)生于先向Google提交一個網(wǎng)站,等該網(wǎng)站被收錄后再以其它頁面替換該網(wǎng)站。“誘餌行為”就屬于此類偷梁換柱之舉–創(chuàng)建一個優(yōu)化頁和一個普通頁,然后把優(yōu)化頁提交給Google,當(dāng)優(yōu)化頁被Google收錄后再以普通頁取而代之。
三:誤導(dǎo)性或重復(fù)性關(guān)鍵詞
誤導(dǎo)性關(guān)鍵詞重復(fù)性關(guān)鍵詞
四:隱形頁面
對實(shí)際訪問者或搜索引擎任一方隱藏真實(shí)網(wǎng)站內(nèi)容,以向搜索引擎提供非真實(shí)的搜索引擎友好的內(nèi)容提升排名。
五:欺騙性重定向
指把用戶訪問的第一個頁面(著陸頁)迅速重定向至一個內(nèi)容完全不同的頁面
六:門頁
是為某些關(guān)鍵字特別制作的頁面,專為Google設(shè)計,目的是提高特定關(guān)鍵詞在Google中的排名所設(shè)計的富含目標(biāo)關(guān)鍵詞的域名,且重定向至另一域名的真實(shí)網(wǎng)站。Google的Spiders往往忽略對那些自動重定向到其它頁的頁面的檢索。
七:復(fù)制的站點(diǎn)或網(wǎng)頁
最常見的當(dāng)屬鏡象站點(diǎn)。通過復(fù)制網(wǎng)站或卬頁的內(nèi)容并分配以不同域名和服務(wù)器,以此欺騙Google對同一站點(diǎn)或同一頁面進(jìn)行多次索引。現(xiàn)在Google提供有能夠檢測鏡象站點(diǎn)的適當(dāng)?shù)倪^濾系統(tǒng),一旦發(fā)覺鏡象站點(diǎn),則源站點(diǎn)和鏡象站點(diǎn)都會被從索引數(shù)據(jù)庫中刪除
八:作弊鏈接技術(shù)/惡意鏈接
典型的作弊鏈接技術(shù)包括:
鏈接工廠
大宗鏈接交換程序
交叉鏈接
以上Google優(yōu)化作弊技術(shù)Google目前已經(jīng)可以監(jiān)控出來,我們建議各位在做Google優(yōu)化時不要使用上面列舉的作弊技術(shù)!
正確的Google優(yōu)化技術(shù):1、標(biāo)題
在網(wǎng)頁的標(biāo)題(Title標(biāo)簽)加上關(guān)鍵詞,關(guān)鍵詞數(shù)不要過多,建議為1到3個。
2、KeyWords(關(guān)鍵詞)
KeyWords現(xiàn)在在Google優(yōu)化規(guī)則里面不是很受重視,但是,我們必要做到的是,盡一切能力進(jìn)行優(yōu)化,所以,也是一定要做的。
3、Dscription(描述)
Dscription0盡可能的反復(fù)出現(xiàn)需要優(yōu)化的關(guān)鍵詞,但是語法一定要通順,流暢。符合瀏覽者搜索該關(guān)鍵詞的用意以及感受。也要符合網(wǎng)頁內(nèi)容的含義,最好能概括網(wǎng)頁的內(nèi)容,杜絕虛假。
4、網(wǎng)站框架結(jié)構(gòu)
盡量少使用圖片、FLASH、JS等文件,讓Google更好的抓去站點(diǎn)的信息,站內(nèi)鏈接要合理的設(shè)計。
5、頁面關(guān)鍵詞
第3篇
【關(guān)鍵詞】信息隱藏 安全 技術(shù)
多媒體技術(shù)和通信技術(shù)帶來極大方便,但數(shù)字化的多媒體信息很容易受到非法訪問、篡改、復(fù)制和傳播,給人們的生產(chǎn)生活及生命財產(chǎn)帶來隱患。魔高一尺道高一丈,信息隱藏技術(shù)應(yīng)運(yùn)而生。
一、信息隱藏技術(shù)及其特征
信息隱藏技術(shù)利用載體數(shù)據(jù)的冗余性以及人的感官局限性,將一個特定信息隱藏在另外一個被稱為載體的信息中。信息隱藏技術(shù)融合電子工程、計算機(jī)科學(xué)、信號處理、通信、多媒體技術(shù)等多學(xué)科,是新興技術(shù)體系。信息隱藏所用載體可以是文本、圖像、音頻、視頻,甚至可以是某個信道或某套編碼體制。信息能夠隱藏在載體中,載體數(shù)據(jù)本身具有很大的冗余性,未壓縮的多媒體信息編碼效率是很低,將某些信息嵌入到該載體信息中進(jìn)行秘密傳送完全可行,不會影響多媒體信息本身的傳送和使用;人的感覺器官對于所接收信息都有一定掩蔽效應(yīng),如人耳對不同頻段聲音敏感程度不同,可將信息隱藏到載體中而不被覺察。
信息隱藏技術(shù)的特征明顯:不可察覺性,嵌入信息后,要求不會引起載體發(fā)生可感知變化;不可檢測性,嵌入隱藏信息后,計算機(jī)不能發(fā)現(xiàn)和檢測;安全性,嵌入信息后,必須擁有相關(guān)信息才能夠提取所嵌入內(nèi)容;純正性,提取操作時,即便載密文件受到損壓縮、解壓縮、濾波、轉(zhuǎn)換等擾動,也能提取隱藏信息;穩(wěn)定性,隱藏信息能“永久”存在;安全性,第三方在不知道隱藏算法和隱藏密鑰情況下,不能獲取信息相關(guān)數(shù)據(jù)。信息隱藏技術(shù)按載體分為,基于文本、圖像、音頻、視頻、超文本、網(wǎng)絡(luò)層、圖形等媒體的信息隱藏技術(shù);按嵌入域分為基于空域(或時域)和變換域的隱藏技術(shù);按嵌入策略分為替換調(diào)制、模式調(diào)制和擴(kuò)頻疊加調(diào)制等技術(shù);按提取要求分為盲隱藏技術(shù)和非盲隱藏技術(shù);按作用分為隱蔽通信和數(shù)字水印技術(shù);按密鑰分為無密鑰隱藏和有密鑰隱藏。
二、信息隱藏技術(shù)的研究及演進(jìn)
信息安全事關(guān)個人利益,也事關(guān)國家安全、社會穩(wěn)定以及經(jīng)濟(jì)發(fā)展,各國政府無不重視信息和網(wǎng)絡(luò)安全。密碼技術(shù)一直是保障信息安全的重要手段,但這并不能解決問題。截獲者發(fā)現(xiàn)網(wǎng)絡(luò)文件加密,往往會引起注意,并激發(fā)其破解欲望,即使不能成功破解,也能輕易攔截并破壞秘密信息,干擾通信進(jìn)行。針對密碼技術(shù)的局限性,上世紀(jì)90年代國際上出現(xiàn)了信息隱藏技術(shù)(InformationHiding)。
現(xiàn)代信息隱藏研究主要集中在靜態(tài)圖像領(lǐng)域,目前信息隱藏所用載體已擴(kuò)展到文字、圖像、聲音及視頻等領(lǐng)域。在全球信息化、數(shù)字化迅猛發(fā)展時代背景下,對知識產(chǎn)權(quán)保護(hù)、隱密通信等需求激發(fā)了對信息隱藏技術(shù)的研究熱潮。國際上研究信息隱藏的機(jī)構(gòu)主要有劍橋大學(xué)、麻省理工學(xué)院、NEC美國研究所、IBM研究中心等,已提出了一些優(yōu)秀隱藏算法。我國于1999年在何德全、周仲義、蔡吉人等三位院士大力倡導(dǎo)下召開了第一屆信息隱藏學(xué)術(shù)研討會,我國對信息隱藏的研究也取得重要成果。目前在信息隱藏中無論是數(shù)字水印還是隱密通信,都得到越來越廣泛應(yīng)用。應(yīng)用領(lǐng)域不斷擴(kuò)大,從最初靜態(tài)圖片發(fā)展到文本、音頻、視頻、電腦文件、流媒體、網(wǎng)頁及網(wǎng)絡(luò)傳輸中的數(shù)據(jù)包,甚至是無線通信領(lǐng)域中的語音通信和手機(jī)彩信等領(lǐng)域。我國對信息隱藏的研究取得了很多成果,基本與世界水平保持一致。如今信息隱藏研究已出現(xiàn)百花齊放、百家爭鳴局面。
三、信息隱藏技術(shù)的應(yīng)用
隨著信息技術(shù)飛速發(fā)展,人類利用的信息越來越豐富,通信技術(shù)發(fā)展使人們能夠方便、快捷、靈活地使用文本、語音、圖像與視頻等多種方式通信;各種數(shù)字化信息處理技術(shù)使得網(wǎng)絡(luò)中傳輸任何類型的文件(如文本、圖像、音頻和視頻等)都可被數(shù)字化,極大方便了對各種信息數(shù)據(jù)壓縮、存儲、復(fù)制、處理和利用。
信息隱藏技術(shù)主要有隱寫術(shù)和數(shù)字水印。目前,信息隱藏技術(shù)的應(yīng)用主要在以下方面:一是隱密通信。通過隱寫術(shù)將秘密信息嵌入在公開媒體文件中傳播消息。早期的隱密通信,接收方和發(fā)送方甚至不必交換電子郵件,直接交互文件或登錄特定計算機(jī)和賬戶。隨著網(wǎng)絡(luò)及通信技術(shù)發(fā)展,隱密通信所用通信方式從簡單數(shù)據(jù)文件交互到互聯(lián)網(wǎng)以及無線通信領(lǐng)域。二是版權(quán)保護(hù)。通過數(shù)字水印技術(shù)在媒體文件中嵌入特定數(shù)字標(biāo)識或簽名,標(biāo)識媒體文件所有權(quán)和版權(quán)信息等。三是數(shù)據(jù)完整性保護(hù)。防護(hù)篡改、完整性保護(hù)中所采用的數(shù)字水印為易損水印或脆弱水印,任何對媒體文件修改都會從隱藏數(shù)據(jù)中反映出來。四是印刷品防偽。印刷品印刷之前嵌入一定標(biāo)識信息,印刷后作品可經(jīng)過掃描再次輸入計算機(jī),通過特定水印提取和鑒別方法來鑒別作品真?zhèn)巍N迨强截惪刂啤?刂泼襟w文件拷貝次數(shù),防止大規(guī)模盜版或非法復(fù)制。
信息隱藏技術(shù)重點(diǎn)運(yùn)用領(lǐng)域是移動通信領(lǐng)域。移動通信網(wǎng)絡(luò)方便快捷,在軍事和商業(yè)通信中廣泛應(yīng)用。移動通信領(lǐng)域多媒體短信將文本、圖片、音頻、視頻等組合成多媒體消息進(jìn)行發(fā)送。移動通信領(lǐng)域中多媒體短信以其特有的直觀性、生動性和集成性,面市以來得到廣泛關(guān)注。多媒體短信即彩信的最大特色是支持多媒體功能,可將不同的媒體,如文本、圖片、音頻、視頻等組合在一起進(jìn)行發(fā)送。彩信標(biāo)準(zhǔn)并沒有對彩信所支持的文件格式給出具體限制,理論上只要在封裝打包時為彩信所包含的各媒體文件設(shè)置好適當(dāng)類型參數(shù)即可;但實(shí)際上具體的彩信所支持媒體格式還是有限的,這主要與手機(jī)終端彩信軟件和MMSC支持傳送媒體格式有關(guān)。隨著3G普及以及手機(jī)終端行業(yè)發(fā)展,彩信所支持的媒體文件格式將更豐富多樣,為信息隱藏技術(shù)在彩信中的應(yīng)用提供了更為廣闊的空間。
【參考文獻(xiàn)】
[1]劉宏.信息隱藏技術(shù)在遙感影像中的應(yīng)用.信息工程大學(xué)碩士學(xué)位論文,2008.