Остання редакція: 2024-12-26
Анотація
Анотація
Розглянуто методику та засоби виявлення прихованих процесів в операційній системі. Запропонований програмний засіб забезпечує виявлення прихованих процесів шляхом безпосереднього зчитування даних із фізичної пам'яті, уникаючи залежності від стандартних API-викликів, які можуть бути скомпрометовані руткітами. На основі аналізу існуючих методів було встановлено їх обмеження, зокрема використання лише користувацького режиму чи опору на стандартні механізми ядра, що не забезпечує достовірного моніторингу у випадку маніпуляцій. У результаті було розроблено архітектуру програмного засобу, що включає модульний підхід, алгоритми глибокого аналізу системних структур і перехресну перевірку даних, отриманих із різних джерел. Розроблений підхід дозволяє виявляти приховані процеси навіть за умов застосування сучасних методів технік маскування. Проведене тестування підтвердило ефективність запропонованого засобу, продемонструвавши його перевагу над аналогами в умовах реальних загроз.
Ключові слова
Посилання
1. NtQuerySystemInformation function (winternl.h) - Win32 apps. Microsoft Learn: Build skills that open doors in your career. URL: https://learn.microsoft.com/en-us/windows/win32/api/winternl/nf-winternl-ntquerysysteminformation (дата звернення: 10.12.2024)
2. The Art Of Hiding In Windows – HADESS. URL: https://hadess.io/the-art-of-hiding-in-windows/ (дата звернення: 10.12.2024)
3. Bypassing User-Mode Hooks and Direct Invocation of System Calls for Red Teams - MDSec. URL: https://www.mdsec.co.uk/2020/12/bypassing-user-mode-hooks-and-direct-invocation-of-system-calls-for-red-teams/?utm_source=chatgpt.com (дата звернення: 10.11.2024).