Windows Rootkit檢測(cè)機(jī)制的研究與實(shí)現(xiàn).pdf

1、Rootkit是攻擊者在入侵系統(tǒng)后為了保持對(duì)系統(tǒng)的超級(jí)用戶訪問(wèn)權(quán)限，創(chuàng)建后門(mén)和隱藏攻擊痕跡而常采用的一種技術(shù)。Rootkit主要有兩個(gè)功能：隱藏自身和信息竊取。Rootkit可以存在多種操作系統(tǒng)上，由于Windows在世界范圍內(nèi)使用的廣泛性，使其成為了Rootkit攻擊的重要目標(biāo)。這種新型攻擊方式的出現(xiàn)，給脆弱的因特網(wǎng)帶來(lái)了新的安全威脅。在Windows Rootkit悄悄地潛入到了目標(biāo)主機(jī)中后，它在隱藏自身和自身攻擊行為的前提下，很容

2、易地控制目標(biāo)主機(jī)，竊取其中的秘密信息或是對(duì)其進(jìn)行破壞，而且還可以把它當(dāng)作“跳板”來(lái)進(jìn)行各種網(wǎng)絡(luò)攻擊。 本文通過(guò)對(duì)Windows Rootkit的工作原理進(jìn)行分析：其為了實(shí)現(xiàn)其隱藏自身和信息竊取而必須對(duì)一些系統(tǒng)文件、系統(tǒng)內(nèi)存和內(nèi)核數(shù)據(jù)作出修改，再進(jìn)一步分析，其一般是在中斷描述符表（IDT）、系統(tǒng)服務(wù)描述符表（SSDT）等地方設(shè)置鉤子或者修改某些內(nèi)核數(shù)據(jù)結(jié)構(gòu)，修改了很少的一個(gè)地方就能讓系統(tǒng)執(zhí)行其代碼。本文還分析目前流行的幾個(gè)Wind

3、ows Rootkit的檢測(cè)工具，但這些工具在針對(duì)性強(qiáng)的情況下只能檢測(cè)某些特定的Windows Rootkit，無(wú)法檢測(cè)到一些新型的Windows Rootkit或利用其它技術(shù)的Windows Rootkit。必須要用一種更為有效的Windows Rootkit檢測(cè)機(jī)制來(lái)應(yīng)對(duì)Windows Rootkit所帶來(lái)的威脅。 本文在分析Windows Rootkit所利用的技術(shù)后針對(duì)性的設(shè)計(jì)了一個(gè)有效的檢測(cè)Windows Rootki

4、t的系統(tǒng)。為了防止檢測(cè)系統(tǒng)被一些有反檢測(cè)軟件功能的惡意代碼的損害，此系統(tǒng)通過(guò)完整性檢測(cè)和隱藏自身來(lái)保護(hù)自己。在檢測(cè)Windows Rootkit時(shí)，此系統(tǒng)從用戶空間和內(nèi)核空間兩個(gè)層面對(duì)Windows Rootkit所有可能修改的地方設(shè)置了檢測(cè)點(diǎn)。在用戶空間，Windows Rootkit通過(guò)對(duì)重要系統(tǒng)文件、代碼區(qū)和輸入地址表進(jìn)行修改實(shí)現(xiàn)其目的，檢測(cè)時(shí)也就相應(yīng)地檢測(cè)這些位置；在內(nèi)核空間，Windows Rootkit可以通過(guò)修改中斷描述符