论文部分内容阅读
针对rootkit采用隐藏注册表达到隐藏自身的目的,从rootkit的自启动行为入手,提出了依据注册表隐藏信息检测rootkit的机制,并设计了一种基于交叉视图的Windows rootkit检测方法。这种方法通过比较从内核态和用户态枚举的注册表信息,从中检测出被rootkit隐藏的注册表项目,继而检测出rootkit。最后,通过一个代表性的实例验证了这种方法具有较好的检测效果。