基于rootkit的主動防御技術(shù)研究與實現(xiàn).pdf

1、微軟最初設(shè)計的基于NT架構(gòu)的操作系統(tǒng)，初衷是在滿足用戶對操作系統(tǒng)功能需求的基礎(chǔ)上，為用戶提供一個易于使用的系統(tǒng)界面。然而近年來隨著互聯(lián)網(wǎng)的普及和計算機的高速發(fā)展，針對Windows平臺的病毒和木馬技術(shù)的廣泛關(guān)注與研究，使得Windows的主機安全性問題源源不斷地暴露出來。如何對主機的安全進行防護、及時阻斷病毒和木馬對主機系統(tǒng)的攻擊、最大程度地降低主機系統(tǒng)的安全風(fēng)險，已經(jīng)成為安全領(lǐng)域的一個重要研究內(nèi)容。作為主機安全的攻擊方和防御方，病毒、

2、木馬與安全軟件產(chǎn)品都在使用不同層次的rootkit技術(shù)進行信息的竊取與防護。只有對這類攻擊技術(shù)有著比較深入的認識與了解，才能進一步研究如何針對這類技術(shù)進行檢測并作出主動防御的策略。
　　本文一開始就首先介紹了被rootkit廣泛使用的各種技術(shù)的原理，這些原理是作為本課題主動防御系統(tǒng)的鋪墊，只有深入理解rootkit的相關(guān)技術(shù)原理才能夠提出對應(yīng)的檢測和防御方案。接著研究并實現(xiàn)了基于rootkit的主動防御系統(tǒng)的檢測模塊和監(jiān)控模塊。根

3、據(jù)rootkit技術(shù)多樣性的特點提出了基于交叉對比的rootkit檢測方法，克服了傳統(tǒng)rootkit檢測工具針對rootkit檢測的單一性缺點。監(jiān)控模塊通過分析應(yīng)用程序的行為，創(chuàng)新性地通過掛鉤由用戶層進入內(nèi)核層的必經(jīng)之路
　　KiFastCallEntry內(nèi)核函數(shù)，設(shè)計并實現(xiàn)了一個易修改、易分工和具備良好擴展性的主動防御監(jiān)控框架。當(dāng)發(fā)現(xiàn)可疑的系統(tǒng)服務(wù)被調(diào)用時利用自己建立的規(guī)則來進行攔截或者放行，這種策略不依賴于惡意程序的繁衍與變遷

4、，可以使防御技術(shù)不受制于惡意程序，并且通過注冊表的變動回調(diào)來保護自身不被病毒和木馬破壞。通過在虛擬執(zhí)行環(huán)境下進行的實驗結(jié)果表明該框架具有非常良好的穩(wěn)定性和擴展性。接下來對于進程主動防御、注冊表主動防御和文件主動防御的研究和實現(xiàn)都是基于該框架的。論文的最后設(shè)計并實現(xiàn)了驅(qū)動防火墻，在rootkit加載驅(qū)動的時候設(shè)置一道屏障以防止rootkit對主動防御系統(tǒng)造成攻擊，相比較于傳統(tǒng)的反病毒反木馬軟件，該主動防御系統(tǒng)具有極強的健壯性。另一方面通過