系统调用挂钩的隐蔽木马程序检测方法

隐蔽木马程序的设计本质是劫持常规的执行路径流，当前大多数检测手段无法全面检测出隐蔽性日益增强的木马程序。该文结合操作系统程序执行流程的局部相关性与确定性，在分析用户进程空间与内核空间中系统函数调用标志信息的墓础上，检测系统中是否存在木马程序设置的隐蔽性系统调用挂钩，设计井实现了相应的检测方法。与现有的检测方法相比，该方案弥补了检测未知木马的不足，检测结果更全面。