學(xué)術(shù)研究A cademic R esearch基于客戶端蜜罐的木馬隱蔽通信檢測(cè)張 臣，王軼駿，薛 質(zhì)(上海交通大學(xué)信息安全工程學(xué)院，上海200240)[摘 要] 當(dāng)今流行的木馬程序開(kāi)始采用隱蔽通信

學(xué)術(shù)研究

A cademic R esearch

基于客戶端蜜罐的木馬隱蔽通信檢測(cè)

張 臣，王軼駿，薛 質(zhì)

(上海交通大學(xué)信息安全工程學(xué)院，上海200240)

[摘 要] 當(dāng)今流行的木馬程序開(kāi)始采用隱蔽通信技術(shù)繞過(guò)蜜罐系統(tǒng)的檢測(cè)。首先介紹木馬常用的隱蔽通信技術(shù)以及越來(lái)越流行的內(nèi)核層Rootkit 隱蔽通信技術(shù)，并討論了現(xiàn)階段客戶端蜜罐對(duì)于惡意程序的檢測(cè)方式。針對(duì)蜜罐網(wǎng)絡(luò)通信檢測(cè)機(jī)制的不足，提出了一種有效的改進(jìn)方案，使用基于NDIS 中間層驅(qū)動(dòng)的網(wǎng)絡(luò)數(shù)據(jù)檢測(cè)技術(shù)來(lái)獲取木馬通信數(shù)據(jù)包。該方案能夠有效檢測(cè)基于網(wǎng)絡(luò)驅(qū)動(dòng)的Rootkit 隱蔽通信，提取木馬關(guān)鍵通信信息，以進(jìn)行對(duì)木馬行為的跟蹤和分析。[關(guān)鍵詞] 客戶端蜜罐；隱蔽通信；Rootkit；網(wǎng)絡(luò)協(xié)議驅(qū)動(dòng)；網(wǎng)絡(luò)協(xié)議中間層驅(qū)動(dòng)

[中圖分類(lèi)號(hào)] TP393 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1009-8054 (2011)02-0049-03

Detection of Trojan Covert Communication based on Client Honeypot

ZHANG Chen，WANG Yi-jun，XUE Zhi

(Institute of Information Security Engineering，Shanghai Jiaotong University，Shanghai 200240，China)[Abstract] Today's popular Trojans begin to use covert communication technology and bypass the detection of honeypot system. This paper first describes the common Trojan covert communication technologies and the growing popular kernel layer Rootkit covert communication technology，then discusses the current client honeypot detecting methods for malware. Aiming at the deficiency of Honeypot detection mechanisms for network communication，an effective improvement scheme is proposed，By using network traffic detection technology based on the NDIS intermediate driver，the Trojans date packets are acquired. This scheme could effectively detect Rootkit covert communication based on network driver and extract the key communication information for Trojan track and analysis.[Keywords] client honeypot；covert communication；Rootkit ；NDIS protocol driver；NDIS intermediate driver

0 引言

現(xiàn)在流行的木馬程序，都帶有文件和進(jìn)程隱藏功能以防止被檢測(cè)和查殺，但如果能捕獲木馬程序的網(wǎng)絡(luò)通信數(shù)據(jù)并進(jìn)行分析，提取其源目的地址和端口號(hào)等信息，便可以獲取木馬連接的相關(guān)信息，再結(jié)合反向域名查詢以及域名劫持等技術(shù)就可以有效對(duì)抗當(dāng)今流行的木馬，包括反彈式木馬。所以，現(xiàn)在越來(lái)越多的木馬程序開(kāi)始利用隱蔽通信技術(shù)來(lái)繞過(guò)安全系統(tǒng)的檢測(cè)和過(guò)濾，而利用內(nèi)核層Rootkit技術(shù)來(lái)實(shí)現(xiàn)隱蔽通信已經(jīng)成為當(dāng)今流行木馬的發(fā)展方向。針對(duì)隱藏連接狀態(tài)的Rootkit 隱蔽通信技術(shù)可以通過(guò)捕獲木馬通信數(shù)據(jù)來(lái)檢測(cè)和分析木馬行為。因此，出現(xiàn)了另外一種Rootkit 隱蔽通信技術(shù)，開(kāi)發(fā)自定義的網(wǎng)絡(luò)驅(qū)動(dòng)接口規(guī)范(NDIS)協(xié)議驅(qū)動(dòng)而不使用傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議(TCP/收稿日期：2009-10-09

作者簡(jiǎn)介：張臣，1986年生，男，碩士研究生，研究方向：網(wǎng)絡(luò)攻擊與防御；王軼駿，1980年生，男，講師，研究方向：網(wǎng)絡(luò)主動(dòng)防御技術(shù)與操作系統(tǒng)安全機(jī)制；薛質(zhì)，1971年生，男，教授，研究方向：計(jì)算機(jī)通信網(wǎng)、信息安全、網(wǎng)絡(luò)安全攻防與評(píng)測(cè)。

[1]

IP) 協(xié)議棧來(lái)傳輸數(shù)據(jù)，從而躲避檢測(cè)系統(tǒng)對(duì)通信數(shù)據(jù)的捕獲。

1 隱蔽通信技術(shù)

隱蔽通信技術(shù)

[2]

使木馬客戶端和服務(wù)器端的通信更加隱蔽，

通常有如下幾種思想方法：

① 隱藏于已存在的通信量中；

② 利用常規(guī)協(xié)議的源和目的端口，如端口復(fù)用技術(shù)；③ 通過(guò)加密或者隱寫(xiě)技術(shù)不以明文傳送數(shù)據(jù)；④ 使用內(nèi)核層Rootkit 技術(shù)隱蔽通信。1.1 協(xié)議域隱蔽通信技術(shù)

在TCP/IP協(xié)議中，有許多信息冗余，可以用來(lái)隱藏信息。特別是在協(xié)議頭格式定義中，有很多字段設(shè)計(jì)不嚴(yán)以致給建立隱蔽通道提供了機(jī)會(huì)。常見(jiàn)的協(xié)議利用技術(shù)有如下幾種：

① 域名系統(tǒng)(DNS)隱蔽通道。通過(guò)修改DNS 協(xié)議請(qǐng)求報(bào)文，添加木馬程序的通信數(shù)據(jù)到DNS 報(bào)文中；

② Internet控制報(bào)文協(xié)議(ICMP)隱蔽通道。將木馬程序的通信數(shù)據(jù)隱藏在ICMP 報(bào)文格式的選項(xiàng)數(shù)據(jù)字段進(jìn)行傳送。1.2 內(nèi)核層Rootkit 隱蔽通信技術(shù)

除了上述傳統(tǒng)的隱蔽通道技術(shù)外，當(dāng)今流行的木馬程序開(kāi)

信息安全與通信保密 · 2011.2

49

學(xué)術(shù)研究

A cademic R esearch

始向操作系統(tǒng)底層發(fā)展。通過(guò)內(nèi)核層Rootkit 技術(shù)來(lái)隱藏網(wǎng)絡(luò)數(shù)據(jù)的通信，使得檢測(cè)軟件難以發(fā)現(xiàn)木馬程序的通信行為。

(1)分層過(guò)濾驅(qū)動(dòng)[3]及掛鉤技術(shù)修改套接字通信訪問(wèn)

分層過(guò)濾驅(qū)動(dòng)是指掛載在常規(guī)驅(qū)動(dòng)程序之上的自定義驅(qū)動(dòng)程序，用以截獲和修改系統(tǒng)中傳輸?shù)臄?shù)據(jù)，一般通過(guò)過(guò)濾和修改I/O請(qǐng)求報(bào)文(IRP)實(shí)現(xiàn)。內(nèi)核層Hook 技術(shù)是指先將用戶自定義的函數(shù)替代驅(qū)動(dòng)程序中常規(guī)的分發(fā)函數(shù)，執(zhí)行完成之后再跳轉(zhuǎn)回原來(lái)的函數(shù)。通過(guò)在網(wǎng)絡(luò)連接驅(qū)動(dòng)程序上掛載過(guò)濾驅(qū)動(dòng)或Hook 網(wǎng)絡(luò)連接驅(qū)動(dòng)程序上的相關(guān)函數(shù)，都可以修改系統(tǒng)顯示的網(wǎng)絡(luò)連接信息從而過(guò)濾木馬通信的連接信息。

(2) NDIS協(xié)議驅(qū)動(dòng)木馬[4]

TCP/IP協(xié)議是常用的傳輸協(xié)議。發(fā)送數(shù)據(jù)時(shí)，協(xié)議驅(qū)動(dòng)程序會(huì)首先分配內(nèi)存，將應(yīng)用程序的數(shù)據(jù)復(fù)制到分配的內(nèi)存中，然后調(diào)用NDIS 函數(shù)將這些數(shù)據(jù)發(fā)送到下層驅(qū)動(dòng)程序。協(xié)議驅(qū)動(dòng)程序也提供下層接口用于接收數(shù)據(jù)包，之后將接收到的數(shù)據(jù)提交給應(yīng)用程序。編寫(xiě)自己的NDIS 協(xié)議驅(qū)動(dòng)[5]傳輸數(shù)據(jù)可以繞過(guò)應(yīng)用層相關(guān)的網(wǎng)絡(luò)數(shù)據(jù)嗅探技術(shù)，能有效防止監(jiān)控軟件捕獲傳送的數(shù)據(jù)，使其檢測(cè)不到任何通信流量。所以如果在木馬服務(wù)器和客戶端通信中直接使用自定義的NDIS 協(xié)議驅(qū)動(dòng)發(fā)送和接收數(shù)據(jù)包，可以有效繞過(guò)應(yīng)用層以及傳輸驅(qū)動(dòng)程序接口(TDI)層的嗅探技術(shù)。2 客戶端蜜罐網(wǎng)絡(luò)連接監(jiān)控

2.1 客戶端蜜罐現(xiàn)狀

當(dāng)今大多數(shù)的高交互客戶端蜜罐系統(tǒng)[6]主要通過(guò)檢測(cè)系統(tǒng)的文件，注冊(cè)表和進(jìn)程行為來(lái)判斷是否有惡意代碼執(zhí)行。然而對(duì)于網(wǎng)絡(luò)連接尤其是隱蔽通信則缺乏監(jiān)控或者監(jiān)控力度不夠，這樣將導(dǎo)致一些惡意行為無(wú)法被檢測(cè)。如果木馬服務(wù)端駐留在內(nèi)存中直接與客戶端進(jìn)行交互，那么上述檢測(cè)方法無(wú)法發(fā)現(xiàn)木馬。對(duì)于普通木馬程序，即使發(fā)現(xiàn)木馬行為也無(wú)法有效收集木馬的網(wǎng)絡(luò)通信數(shù)據(jù)，因而無(wú)法對(duì)木馬程序的行為以及攻擊者來(lái)源進(jìn)行深入分析。Capture-HPC[7]是由美國(guó)蜜網(wǎng)(Honeynet)項(xiàng)目組發(fā)起的開(kāi)源項(xiàng)目，在各種高交互客戶端蜜罐系統(tǒng)中，Capture-HPC是應(yīng)用最廣泛、功能最強(qiáng)大的客戶端蜜罐系統(tǒng)之一。由于其開(kāi)源性易于研究分析，成為當(dāng)今高交互客戶端蜜罐的典型代表。

2.2 Capture-HPC網(wǎng)絡(luò)通信監(jiān)控

Capture-HPC 可用于查找網(wǎng)絡(luò)中的惡意網(wǎng)站及掛載木馬的網(wǎng)頁(yè)，其檢測(cè)機(jī)制基于VMware 虛擬機(jī)。當(dāng)Capture 客戶端與Web 服務(wù)器交互時(shí)，Capture-HPC檢測(cè)虛擬操作系統(tǒng)的4種系統(tǒng)狀態(tài)變化：文件系統(tǒng)、注冊(cè)表、進(jìn)程和網(wǎng)絡(luò)連接。Capture-HPC 現(xiàn)有版本對(duì)于網(wǎng)絡(luò)連接的監(jiān)控是基于TDI 過(guò)濾驅(qū)動(dòng)程序?qū)崿F(xiàn)的。通過(guò)將TDI 過(guò)濾驅(qū)動(dòng)程序掛載在TCP 和UDP 的連接設(shè)備上，這樣所有通過(guò)TDI 的TCP 或UDP 網(wǎng)絡(luò)數(shù)據(jù)以及網(wǎng)絡(luò)連接狀態(tài)都可以被Capture-HPC 的監(jiān)控模塊記錄下來(lái)，從而實(shí)現(xiàn)50www.cismag.com.cn 對(duì)網(wǎng)絡(luò)連接的監(jiān)控。Capture-HPC實(shí)現(xiàn)了兩個(gè)TDI 過(guò)濾驅(qū)動(dòng)程序分別監(jiān)控TCP 和UDP 的網(wǎng)絡(luò)連接，通過(guò)處理所有經(jīng)過(guò)TCP 和UDP 協(xié)議驅(qū)動(dòng)的IRP 主分發(fā)函數(shù)并設(shè)置相關(guān)的回調(diào)例程來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)連接的監(jiān)控，過(guò)濾驅(qū)動(dòng)掛載的實(shí)現(xiàn)機(jī)制如圖1所示。Capture-HPC 網(wǎng)絡(luò)連接的監(jiān)控機(jī)制是近期剛提出的改進(jìn)方案，雖然有所彌補(bǔ)長(zhǎng)期以來(lái)網(wǎng)絡(luò)連接檢測(cè)的缺乏，但對(duì)于隱蔽通信的監(jiān)控力度仍然圖1 網(wǎng)絡(luò)連接監(jiān)控設(shè)備不夠。由于其網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控技術(shù)基于TDI 驅(qū)動(dòng)層，在TDI 層以下的內(nèi)核驅(qū)動(dòng)層數(shù)據(jù)隱藏技術(shù)，比如前面提到的自定義NDIS 協(xié)議驅(qū)動(dòng)木馬就可以繞過(guò)該檢測(cè)機(jī)制。2.3 NDIS中間層驅(qū)動(dòng)網(wǎng)絡(luò)通信監(jiān)控針對(duì)上述客戶端蜜罐系統(tǒng)網(wǎng)絡(luò)通信監(jiān)控機(jī)制方面的不足，提出在Capture-HPC 等高交互客戶端蜜罐系統(tǒng)中使用基于NDIS 中間層驅(qū)動(dòng)[8]進(jìn)行網(wǎng)絡(luò)隱蔽通信監(jiān)控。2.3.1 NDIS中間層驅(qū)動(dòng)原理及實(shí)現(xiàn)NDIS 中間層驅(qū)動(dòng)程序一般位于NDIS 小端口驅(qū)動(dòng)和NDIS 協(xié)議驅(qū)動(dòng)之間，既與上層NDIS 協(xié)議驅(qū)動(dòng)程序通信，又與下層NDIS 小端口驅(qū)動(dòng)程序通信。NDIS中間層驅(qū)動(dòng)程序的下邊界提供了協(xié)議入口點(diǎn)函數(shù)，通過(guò)調(diào)用這些函數(shù)傳遞下層NDIS 小端口的請(qǐng)求，此時(shí)NDIS 中間層驅(qū)動(dòng)下邊界模擬成NDIS 協(xié)議驅(qū)動(dòng)程序；NDIS中間層驅(qū)動(dòng)程序的上邊界提供了NDIS 小端口的入口指針，上層NDIS 協(xié)議驅(qū)動(dòng)程序通過(guò)引用這些指針進(jìn)行通信，此時(shí)NDIS 中間層驅(qū)動(dòng)上邊界模擬成NDIS 小端口驅(qū)動(dòng)程序。NDIS 中間層驅(qū)動(dòng)實(shí)現(xiàn)的關(guān)鍵步驟如下：① 使用NdisIMRegisterLayeredMiniport注冊(cè)NDIS中間層驅(qū)動(dòng)上邊界小端口特征；② 使用NdisRegisterProtocol注冊(cè)NDIS中間層驅(qū)動(dòng)下邊界協(xié)議特征；③ 使用NdisIMAssociateMiniport 關(guān)聯(lián)NDIS 中間層驅(qū)動(dòng)上邊界接口與NDIS 中間層驅(qū)動(dòng)下邊界接口，保存在同一內(nèi)核結(jié)構(gòu)體中；④ 使用PtBindAdapter 綁定NDIS 中間層驅(qū)動(dòng)下邊界和下層的NDIS 小端口驅(qū)動(dòng)從而實(shí)現(xiàn)網(wǎng)絡(luò)適配器設(shè)備的綁定；⑤ 使用NdisMRegisterDevice 初始化NDIS 中間層驅(qū)動(dòng)上邊界，生成虛擬網(wǎng)絡(luò)適配器讓上層NDIS 協(xié)議驅(qū)動(dòng)綁定。2.3.2 NDIS中間層驅(qū)動(dòng)數(shù)據(jù)傳遞流程Windows 系統(tǒng)中網(wǎng)絡(luò)通信數(shù)據(jù)傳遞詳細(xì)流程如圖2所示。其中主要討論了網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)NDIS 中間層驅(qū)動(dòng)時(shí)的過(guò)程：當(dāng)NDIS 協(xié)議驅(qū)動(dòng)程序發(fā)送網(wǎng)絡(luò)數(shù)據(jù)包時(shí)，NDIS中間層驅(qū)動(dòng)程序?qū)⑦@些數(shù)據(jù)包傳遞到下層的NDIS 小端口驅(qū)動(dòng)。當(dāng)下層

NDIS 小端口驅(qū)動(dòng)向上發(fā)出接收包的指令時(shí)，NDIS中間層驅(qū)動(dòng)程序?qū)?/p> ,

這些指令消息傳遞給上層NDIS 協(xié)議驅(qū)動(dòng)程序。圖2 網(wǎng)絡(luò)通信流程

在NDIS 中間層驅(qū)動(dòng)程序內(nèi)部，是通過(guò)調(diào)用NDIS 庫(kù)提供的函數(shù)向網(wǎng)絡(luò)下層NDIS 驅(qū)動(dòng)程序發(fā)送數(shù)據(jù)包。由于綁定關(guān)系是上層NDIS 協(xié)議驅(qū)動(dòng)綁定NDIS 中間層驅(qū)動(dòng)上邊界，NDIS中間層驅(qū)動(dòng)上邊界再綁定NDIS 中間層驅(qū)動(dòng)下邊界，NDIS中間層驅(qū)動(dòng)下邊界最后綁定下層NDIS 小端口驅(qū)動(dòng)。數(shù)據(jù)包從上層NDIS 協(xié)議驅(qū)動(dòng)開(kāi)始逐層往下傳遞直到最后到達(dá)下層NDIS 小端口驅(qū)動(dòng)，然后通過(guò)I/O中斷將數(shù)據(jù)包發(fā)送到物理網(wǎng)卡。傳輸過(guò)程中每一層的操作方法類(lèi)似，先進(jìn)行協(xié)議驅(qū)動(dòng)自身需要的數(shù)據(jù)處理，然后調(diào)用NdisSend/NdisCoSendPackets往下發(fā)送數(shù)據(jù)包。NdisSend/NdisCoSendPackets實(shí)現(xiàn)過(guò)程是根據(jù)綁定的協(xié)議句柄調(diào)用下層協(xié)議的MpSend 函數(shù)。每層的數(shù)據(jù)包傳遞過(guò)程如圖3所示。

圖3 NDIS中間層驅(qū)動(dòng)數(shù)據(jù)包流程

2.3.3 NDIS中間層驅(qū)動(dòng)截獲通信數(shù)據(jù)

根據(jù)上述分析可知，NDIS中間層驅(qū)動(dòng)模擬NDIS 小端口驅(qū)動(dòng)直接與NDIS 協(xié)議驅(qū)動(dòng)進(jìn)行交互。因此，只要NDIS 中間層驅(qū)動(dòng)在木馬程序自定義的NDIS 協(xié)議驅(qū)動(dòng)之下，便可以截獲木馬程序發(fā)送的任何通信信息。同時(shí)也可以截獲NDIS 協(xié)議驅(qū)動(dòng)以上各層傳遞發(fā)送的網(wǎng)絡(luò)通信信息，而且只要將NDIS 中間層驅(qū)動(dòng)與所有的NDIS 小端口驅(qū)動(dòng)程序綁定就可以截獲來(lái)自網(wǎng)卡的任何數(shù)據(jù)，無(wú)論是發(fā)往傳統(tǒng)的TCP/IP協(xié)議棧還是用戶自定義的

學(xué)術(shù)研究

A cademic R esearch

NDIS 協(xié)議棧。NDIS中間層驅(qū)動(dòng)程序獲取數(shù)據(jù)包常用方式如下：

① 使用NdisAllocateMemoryWithTag分配內(nèi)存空間用以保存網(wǎng)絡(luò)數(shù)據(jù)包；

② 使用NdisQueryPacket 根據(jù)NDIS_PACKET包描述符獲取NDIS 數(shù)據(jù)包緩沖區(qū)鏈表頭；

③ 使用NdisQueryBufferSafe 循環(huán)遍歷NDIS 數(shù)據(jù)包緩沖區(qū)鏈表，復(fù)制網(wǎng)絡(luò)數(shù)據(jù)包到已分配的內(nèi)存空間。

捕獲到NDIS 網(wǎng)絡(luò)數(shù)據(jù)包后，便能對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾、分析和處理。通過(guò)對(duì)木馬程序發(fā)送和接收的數(shù)據(jù)包進(jìn)行檢測(cè)，可以判斷分析木馬程序的行為以及攻擊來(lái)源。實(shí)驗(yàn)證明NDIS 中間層驅(qū)動(dòng)可以有效截獲用戶自定義NDIS 協(xié)議驅(qū)動(dòng)發(fā)送的數(shù)據(jù)包，而該類(lèi)數(shù)據(jù)包能夠繞過(guò)一般的嗅探軟件。

3 結(jié)語(yǔ)

基于NDIS中間層驅(qū)動(dòng)的網(wǎng)絡(luò)數(shù)據(jù)檢測(cè)機(jī)制能有效對(duì)抗Rootkit隱蔽通信技術(shù)。對(duì)一般的木馬程序，無(wú)論是基于內(nèi)核態(tài)還是用戶態(tài)，其網(wǎng)絡(luò)通信都很難繞過(guò)該檢測(cè)機(jī)制，除非攻擊者自己編寫(xiě)網(wǎng)

卡驅(qū)動(dòng)。然而網(wǎng)卡驅(qū)動(dòng)與網(wǎng)絡(luò)適配器關(guān)系緊密，編寫(xiě)復(fù)雜也不易實(shí)現(xiàn)通用性。但基于NDIS 中間層驅(qū)動(dòng)的網(wǎng)絡(luò)數(shù)據(jù)檢測(cè)技術(shù)僅防范了隱蔽通信的一個(gè)方面，對(duì)前面提到的利用協(xié)議域的數(shù)據(jù)隱藏技術(shù)、數(shù)據(jù)加密及隱寫(xiě)技術(shù)等應(yīng)用層的隱蔽通道檢測(cè)，是今后完善高交互客戶端蜜罐對(duì)木馬網(wǎng)絡(luò)隱蔽通信檢測(cè)的主要研究方向。

參考文獻(xiàn)

[1] HOLUND Greg，BUTLER James. Rootkit：Subverting theWindows Kernel[M]. [s.l.]：Addison Wesley Professional，2006：281-344.

[2] BAISHAKHI Ray，SHIVAKANT Mishra. Secure and ReliableCovert Channel[C]//ACM. Proceedings of The 4th Annual Workshop on Cyber Security and Information Intelligence Research. New York： ACM Publications，2008：01-03.[3] 張帆，史彩成. 驅(qū)動(dòng)開(kāi)發(fā)技術(shù)詳解[M]. 北京：電子工業(yè)出版社，2009：506-520.

[4] 楊志程，舒輝，董衛(wèi)宇. 基于NDIS 隱蔽通信技術(shù)的木馬病毒分析[J]. 計(jì)算機(jī)工程，2008，34(10)：147-149.[5] 劉敬軒，戴英俠. 基于NDIS 的IPSec VPN客戶端的設(shè)計(jì)與實(shí)現(xiàn)[J]. 信息安全與通信保密，2006 (12)：191-194.[6] 樊迅，王軼駿. 客戶端蜜罐原理及應(yīng)用研究[J]. 信息安全與通信保密，2009(03)：69-71.

[7] STEENSON R，SEIFERT C. Capture Client Honeypot[DB/OL].(2007-09-22) [2008-04-05]. h t t p s ：//p r o j e c t s . h o n e y n e t . o r g /c a p t u r e -h p c . [8] 譚文，

楊瀟，邵堅(jiān)磊. 寒江獨(dú)釣—Windows內(nèi)核安全編程[M].

北京：電子工業(yè)出版社，2009：435-483.

信息安全與通信保密 · 2011.2

51