基于逃避行为检测的特洛伊木马技术研究

摘要

为了防范新一代木马的攻击,深入研究了逃避行为检测技术,提出SDT(Service Descriptor Table)恢复方法和TDI(Transfer DriverInterface)& NDIS(Network Driver Interface Specification)恢复方法.SDT恢复方法根据SDT初始使化指令特征,直接从内核文件ntoskrnl. exe读取SDT,并在一种新的用户模式下读写内核空间技术,实现SDT恢复,使木马在植入、运行时可逃过行为检测.TDI & NDIS恢复方法根据行为检测截获通信原理,采用预保存通信入口技术,使木马在通信时可逃过行为检测.实验表明,采用SDT和TDI & NDIS恢复方法可逃避行为检测软件的检测.