基于句柄分析的Windows Rootkit 检测技术研究

作为网络入侵领域的一种新兴技术，Rootkit 能隐藏入侵痕迹、阻止用户和检测软件发现恶意代码的存在，具 有隐蔽性好、难以检测等特点。根据对Rootkit 行为的分析，提出了一种基于句柄分析的Rootkit 检测技术，该方法通过遍 历内核句柄表，得到系统中运行的所有进程，再与调用API 得到的进程列表对比，发现Rootkit 隐藏的进程。实验证明，该 方法对于Rootkit 具有良好的检测效果