Windows環(huán)境下針對Rootkit隱藏技術的木馬檢測技術.pdf

1、近年來,隨著互聯(lián)網應用的迅猛發(fā)展和互聯(lián)網用戶的快速增加,網絡安全問題也日益突出。用戶在享受網絡所帶來的便利與快捷時,也在承受著諸如病毒、木馬等惡意程序的威脅。雖然世界各國對給予網絡安全嚴重威脅的病毒、木馬等惡意程序高度的重視,但對隱藏在巨大灰色經濟利益下的惡意程序來說,仍然顯得力不從心。互聯(lián)網面臨的危險根源在于其開放式的體系結構,不可靠的網絡協(xié)議以及運行在各種網絡設備上漏洞百出的操作系統(tǒng)。面對木馬程序,互聯(lián)網用戶的機器時刻暴露于黑客的控

2、制監(jiān)控之下,黑客可以非常方便的獲取用戶的賬號信息,私人資料或商業(yè)秘密,也可能會將用戶的機器作為攻擊其它機器的終端。相比傳統(tǒng)病毒而言,木馬程序具有更大的破壞性和危險性。因此,反木馬領域的研究一直是信息安全領域的重點和熱點。
　　 目前木馬檢測技術大多為特征碼掃描、完整性檢測和虛擬機檢測。三種檢測技術的原理及優(yōu)缺點:特征碼掃描檢測速度快,誤報率低,但需要龐大的特征庫支撐,無法檢測變形和未知的木馬軟件；完整性檢測能夠有效檢測到木馬軟件

3、對文件的修改,但完整性檢測是假設裝入系統(tǒng)中的文件沒有被木馬軟件惡意修改,因此完整性檢測無法發(fā)現(xiàn)裝入系統(tǒng)前已被木馬修改的文件；虛擬機檢測技術可以有效對付加密變形的木馬軟件,但木馬軟件仍然會有多種方式繞過其檢測,如使用特殊指令,使用結構化異常等。
　　 隨著新的Rootkit技術在木馬軟件中的廣泛應用,使得現(xiàn)有的木馬檢測軟件面臨前所未有的挑戰(zhàn)。采用Rootkit技術的木馬能夠實現(xiàn)深度隱藏,包括進程、木馬原文件、通信方式、注冊表等。根