Rootkit與Anti-Rootkit軟件的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著windows作為目前主流PC（個(gè)人電腦）的普及，windows操作系統(tǒng)的研究以及發(fā)展已經(jīng)深入到生活中的方方面面，特別是 windows的核心部件，對(duì)于它的研究，可以作為一個(gè)安全手段；當(dāng)然對(duì)于它的研究也是一把雙刃劍，也可以摧毀一臺(tái)電腦。針對(duì)這兩方面的，主要是rootkit和anti-rootkit。為了達(dá)到某些不可告人的目的，rootkit作為一個(gè)攻擊者，它會(huì)在各方面對(duì)自己進(jìn)行隱蔽，然后在需要的時(shí)候發(fā)起攻擊，以達(dá)到某些目的，比如竊取

2、商業(yè)機(jī)密，摧毀電腦；而 anti-rootkit是隨著 rootkit的誕生而誕生的，它的目的很明確，就是揪出所有隱藏在電腦的rootkit，還給主人一個(gè)安全的環(huán)境。Rootkit和anti-rootkit是一種對(duì)抗的關(guān)系，隨著對(duì)系統(tǒng)的更深入研究，將會(huì)愈演愈烈。根據(jù)對(duì)操作系統(tǒng)入侵的層次來(lái)劃分，可以將 Rootkit分為用戶(hù)級(jí) Rootkit和內(nèi)核級(jí) Rootkit。比較而言，用戶(hù)級(jí) Rootkit工作在操作系統(tǒng)的應(yīng)用層，具有輕便、通用性

3、強(qiáng)的優(yōu)點(diǎn)；而內(nèi)核級(jí) Rootkit直接攻擊操作系統(tǒng)的內(nèi)核，危害更大，功能更強(qiáng)大，更難以檢測(cè)，不過(guò)其工作需要環(huán)0權(quán)限，且兼容性較差。
　　本文針對(duì)這兩種Rootkit，首先闡述了 Rootkit的相關(guān)技術(shù)原理，包括用戶(hù)級(jí)Rootkit以及內(nèi)核級(jí)Rootkit，描述了常規(guī)的Rootkit手段。包括IAT HOOK、EAT HOOK、IDT表的修改以及IRP處理例程HOOK以及經(jīng)典的SSDT HOOK，在此基礎(chǔ)上，介紹了幾種更加新穎的

4、Rootkit技術(shù)手段。通過(guò)對(duì) Rootkit的技術(shù)手段的分析，介紹了幾種常規(guī)的 Anti-Rootkit的方法，并針對(duì)新的 Rootkit方法來(lái)進(jìn)行Anti-Rootkit。最后，本文根據(jù)文中提及的Rootkit方法以及Anti-Rootkit方法，分別編寫(xiě)一款軟件來(lái)進(jìn)行驗(yàn)證。通過(guò)采用新的 Rootkit方法來(lái)對(duì)當(dāng)前世面上的Anti-Rootkit軟件來(lái)進(jìn)行驗(yàn)證，彌補(bǔ)這些安全軟件的不足之處，從而開(kāi)發(fā)出新的Anti-Rootkit軟件，