Win32平臺下內(nèi)核Rootkit技術(shù)的研究與應(yīng)用.pdf

1、隨著計算機網(wǎng)絡(luò)的飛速發(fā)展，網(wǎng)絡(luò)滲透，敏感信息盜取等攻擊行為每天都發(fā)生在我們的身邊。信息安全的矛與盾，攻擊與防御技術(shù)總是互相促進的。Rootkit技術(shù)是攻擊者用來保持對系統(tǒng)的持續(xù)控制權(quán)并且隱蔽攻擊行為與后門程序痕跡的一種技術(shù)。Rootkit軟件最早被應(yīng)用于UNIX系統(tǒng)中，隨后逐漸發(fā)展到其它的操作系統(tǒng)平臺，其中，針對Win32平臺下的Rootkit技術(shù)得到了廣泛的關(guān)注和研究。Rootkit技術(shù)是一種黑客攻擊技術(shù)，而為了能夠更好的防御Root

2、kit技術(shù)的攻擊，首先就必須對Rootkit技術(shù)有一定研究。 根據(jù)對操作系統(tǒng)入侵的層次，可以分為應(yīng)用級Rootkit和內(nèi)核級Rootkit。比較而言，應(yīng)用級Rootkit僅僅工作在操作系統(tǒng)的應(yīng)用層，而內(nèi)核級Rootkit直接攻擊操作系統(tǒng)的內(nèi)核，因此危害更大，功能更強大，更難以檢測。本課題的研究重點是Windows系統(tǒng)平臺下內(nèi)核級Rootkit技術(shù)。 本文首先敘述了Win32系列操作系統(tǒng)的基本架構(gòu)以及與Rootkit技術(shù)相

3、關(guān)的內(nèi)核原理，在此基礎(chǔ)上，提出了幾種內(nèi)核Rootkit攻擊技術(shù)，包括掛鉤SSDT表、過濾驅(qū)動技術(shù)、內(nèi)核對象修改，對每種技術(shù)的原理進行詳細闡述并且給出了實現(xiàn)過程。對于一些新的防御技術(shù)，例如HIPS技術(shù)，能夠有效查殺未知的病毒和惡意軟件，文章分析了HIPS技術(shù)的實現(xiàn)原理，并且提出了繞過HIPS技術(shù)的方法，詳細敘述了實現(xiàn)過程。對于新的系統(tǒng)環(huán)境，Windows Vista操作系統(tǒng)，首先介紹了最新加入的安全保護技術(shù)，然后給出了對抗策略與研究方向。