基于Android平臺(tái)的內(nèi)核Rootkit檢測(cè)及防護(hù)研究.pdf

1、隨著智能手機(jī)的迅速普及，Android系統(tǒng)也得了快速的發(fā)展。當(dāng)前，Android手機(jī)系統(tǒng)的市場(chǎng)份額已經(jīng)達(dá)到了超過了一半，成為用戶最喜歡的移動(dòng)平臺(tái)之一。Android系統(tǒng)使用了Linux內(nèi)核，具有很大的開放性和易操作性。但是，由于Android應(yīng)用市場(chǎng)管理的混亂，Android平臺(tái)上的惡意程序也非常多，這對(duì)Android系統(tǒng)的安全造成了很大的威脅。Rootkit是一種具有很強(qiáng)隱蔽性的惡意程序，在攻擊者成功入侵到系統(tǒng)之后，通常會(huì)在系統(tǒng)中留下

2、一個(gè)后門程序，Rootkit就是不二之選，它能夠幫助攻擊者收集用戶的私密信息，清除攻擊留下的痕跡，并且很難被發(fā)現(xiàn)和清除。
　　基于Rootkit的特點(diǎn)和運(yùn)行環(huán)境，本文首先對(duì)Android平臺(tái)的Rootkit進(jìn)行了詳細(xì)的分類，闡述了Rootkit的具體功能；接著對(duì)Android操作系統(tǒng)特別是對(duì)Android系統(tǒng)架構(gòu)、安全機(jī)制、電話系統(tǒng)和可加載模塊進(jìn)行了詳細(xì)的分析；最后，詳細(xì)介紹了ARM處理器，并對(duì)ARM軟中斷的流程進(jìn)行了分析。

3、>　　隨后，本論文又對(duì)Android平臺(tái)Rootkit的實(shí)現(xiàn)原理和關(guān)鍵技術(shù)進(jìn)行了深入的分析，主要包括系統(tǒng)調(diào)用劫持、模塊隱藏、文件隱藏、電話系統(tǒng)攻擊和進(jìn)程隱藏?；谶@些原理和技術(shù)，本論文設(shè)計(jì)了與之相對(duì)應(yīng)的Rootkit測(cè)試用例，并將它們進(jìn)行了實(shí)現(xiàn)。
　　最后，針對(duì) Android平臺(tái) Rootkit的特征，本論文提出了一種基于 MD5的Android內(nèi)核 Rootkit的檢測(cè)及防護(hù)方案，并對(duì)方案進(jìn)行了設(shè)計(jì)和實(shí)現(xiàn)。該系統(tǒng)包括三個(gè)組成部

4、分，分別是守護(hù)模塊、檢測(cè)模塊和保護(hù)模塊，其中守護(hù)模塊主要是為檢測(cè)模塊和保護(hù)模塊提供數(shù)據(jù)。檢測(cè)模塊是系統(tǒng)的核心部分，它首先從守護(hù)模塊中提取數(shù)據(jù)做為檢測(cè)和保護(hù)的參考數(shù)據(jù)標(biāo)準(zhǔn)；然后依次進(jìn)行隱藏進(jìn)程的檢測(cè)、系統(tǒng)調(diào)用函數(shù)入口地址的檢測(cè)、系統(tǒng)調(diào)用函數(shù)函數(shù)體的檢測(cè)、隱藏文件檢測(cè)、隱藏模塊的檢測(cè)和電話系統(tǒng)的檢測(cè)。隱藏模塊的檢測(cè)是對(duì)系統(tǒng)中模塊鏈表第一模塊的模塊名進(jìn)行MD5計(jì)算，并將計(jì)算得到的值與守護(hù)模塊中的值進(jìn)行比對(duì)，如果相等則說明系統(tǒng)中不存在隱藏模塊，