Windows Rootkit檢測機制的研究與實現(xiàn).pdf

1、Rootkit是攻擊者在入侵系統(tǒng)后為了保持對系統(tǒng)的超級用戶訪問權限，創(chuàng)建后門和隱藏攻擊痕跡而常采用的一種技術。Rootkit主要有兩個功能：隱藏自身和信息竊取。Rootkit可以存在多種操作系統(tǒng)上，由于Windows在世界范圍內使用的廣泛性，使其成為了Rootkit攻擊的重要目標。這種新型攻擊方式的出現(xiàn)，給脆弱的因特網(wǎng)帶來了新的安全威脅。在Windows Rootkit悄悄地潛入到了目標主機中后，它在隱藏自身和自身攻擊行為的前提下，很容

2、易地控制目標主機，竊取其中的秘密信息或是對其進行破壞，而且還可以把它當作“跳板”來進行各種網(wǎng)絡攻擊。 本文通過對Windows Rootkit的工作原理進行分析：其為了實現(xiàn)其隱藏自身和信息竊取而必須對一些系統(tǒng)文件、系統(tǒng)內存和內核數(shù)據(jù)作出修改，再進一步分析，其一般是在中斷描述符表（IDT）、系統(tǒng)服務描述符表（SSDT）等地方設置鉤子或者修改某些內核數(shù)據(jù)結構，修改了很少的一個地方就能讓系統(tǒng)執(zhí)行其代碼。本文還分析目前流行的幾個Wind

3、ows Rootkit的檢測工具，但這些工具在針對性強的情況下只能檢測某些特定的Windows Rootkit，無法檢測到一些新型的Windows Rootkit或利用其它技術的Windows Rootkit。必須要用一種更為有效的Windows Rootkit檢測機制來應對Windows Rootkit所帶來的威脅。 本文在分析Windows Rootkit所利用的技術后針對性的設計了一個有效的檢測Windows Rootki

4、t的系統(tǒng)。為了防止檢測系統(tǒng)被一些有反檢測軟件功能的惡意代碼的損害，此系統(tǒng)通過完整性檢測和隱藏自身來保護自己。在檢測Windows Rootkit時，此系統(tǒng)從用戶空間和內核空間兩個層面對Windows Rootkit所有可能修改的地方設置了檢測點。在用戶空間，Windows Rootkit通過對重要系統(tǒng)文件、代碼區(qū)和輸入地址表進行修改實現(xiàn)其目的，檢測時也就相應地檢測這些位置；在內核空間，Windows Rootkit可以通過修改中斷描述符