CSS09-Countering Kernel Rootkits with Lightweight Hook Protection

摘要 Kernel rootkit通过修改控制数据或者内核中的钩子而劫持控制流，从而隐藏自己的存在。因此保护这些钩子函数成为一个关键问题（引出出问题了）。但是有许多从内核堆中动态分配的钩子，并且与其它内核数据混在一起，这造成了很多难度。另外，缺少灵活的商业硬件支持，造成了所谓的保护粒度沟（内核钩子的保护要求byte级别的粒度，但是商业硬件只支持页级别的保护）。 为解决这些问题，本文提出了HookS

>>阅读原文<<