基于Windows操作系統(tǒng)的Rootkit檢測系統(tǒng)研究.pdf

1、Rootkit是能持久的存在于計算機上而難以被檢測的一組程序或代碼,是惡意軟件用來隱藏自己的蹤跡和保留計算機超級用戶權限的工具。Rootkit的嚴重危害性表現在它擁有目標計算機的超級用戶權限,可以在用戶不知道的情況下對目標計算機進行隨心所欲的操控。不斷發(fā)展的Rootkit技術甚至能攻破Rootkit檢測軟件,并通過修改Rootkit檢測軟件的執(zhí)行邏輯使Rootkit檢測軟件失效。
　　 本文首先對Rootkit采用的技術和發(fā)展趨

2、勢進行了分析,對Rootkit檢測工具的現狀進行了總結;對與Rootkit緊密相關的windows操作系統(tǒng)進行了研究,包括訪問控制機制、內存分頁和尋址方式、進程和線程、可加載內核模塊(驅動)、系統(tǒng)服務調度表、中斷描述符表、PE文件的結構和加載方式、操作系統(tǒng)信息查詢函數等。在對Rootkit新技術、RootMt檢測工具缺陷性和windows操作系統(tǒng)脆弱性三個方面進行分析的基礎上,設計了一個自檢子系統(tǒng)和Rootkit檢測子系統(tǒng)相互獨立的Ro

3、otkit檢測系統(tǒng)。
　　 本文對Rootkit檢測子系統(tǒng)進行了詳細設計。對文件完整性檢測,提出基于待檢測模塊可重復隨機組合求取MD5信息摘要的檢測算法和具體的文件完整性檢測流程;通過對鉤子函數采用的不同技術進行分析后,提出基于函數地址可接受范圍和函數起始64字節(jié)一致性檢測鉤子;通過對注冊表文件和注冊表查詢的分析,提出基于HIVE文件的隱藏注冊表檢測;通過對Rootkit隱藏文件技術和磁盤文件存儲方式的研究,提出基于直接磁盤文件

4、讀取檢測隱藏文件;通過對Rootkit的系統(tǒng)消息鉤子和直接內核對象操作技術研究,提出基于內核對象句柄和線程調度隊列檢測隱藏進程。在Rootkit檢測子系統(tǒng)自保護方面,隱藏了與Rootkit檢測子系統(tǒng)相關的文件、進程和驅動,并設計了提前啟動方式,在降低系統(tǒng)的誤檢率方面,通過專門的數據分析模塊對各檢測模塊上報的疑似Rootkit進行再分析。
　　 本文將自檢子系統(tǒng)和Rootkit檢測子系統(tǒng)設計成沒有直接依賴和調用關系的兩個獨立子系統(tǒng)