基于X86平臺(tái)可執(zhí)行代碼動(dòng)態(tài)檢測(cè)技術(shù)的研究.pdf

1、近年來(lái),隨著Internet的迅速發(fā)展,網(wǎng)絡(luò)安全問(wèn)題顯得日益突出。目前,網(wǎng)絡(luò)上的攻擊方式逐漸呈現(xiàn)出一些新特點(diǎn),從以前大規(guī)模的,無(wú)特定目的的網(wǎng)絡(luò)攻擊轉(zhuǎn)為小規(guī)模的,針對(duì)特定用戶和目的的攻擊。當(dāng)今的計(jì)算機(jī)容易受到各種入侵。其中Rootkit成為危害計(jì)算機(jī)安全的重要因素之一。現(xiàn)有的檢測(cè)技術(shù),比如入侵檢測(cè)系統(tǒng),文件完整性檢測(cè),很可能無(wú)法檢測(cè)出內(nèi)核級(jí)的Rootkit。 本文闡述了Rootkit基本原理和所采用技術(shù)的相關(guān)理論,介紹了Rootk

2、it檢測(cè)系統(tǒng)的類型和面臨的主要問(wèn)題。詳細(xì)介紹了Rootkit入侵的手段與利用的主要技術(shù)手段。Rootkit的主要特點(diǎn)就是隱藏信息,比如運(yùn)行進(jìn)程,服務(wù),Tcp/Ip端口,文件,注冊(cè)信息,用戶帳號(hào)等等,常見(jiàn)的是隱藏運(yùn)行進(jìn)程,文件和注冊(cè)信息。Rootkit常用的隱藏技術(shù)有DLL感染,API鉤掛,線程注入,內(nèi)核數(shù)據(jù)操作。本文介紹了一些檢測(cè)Rootkit的技術(shù)和典型工具。 通過(guò)對(duì)Rootkit檢測(cè)方法的分析,并結(jié)合可執(zhí)行路徑分析技術(shù)的特點(diǎn)

3、,本文給出了一種基于x86平臺(tái)的Rootkit檢測(cè)系統(tǒng)的設(shè)計(jì),并對(duì)系統(tǒng)的總體結(jié)構(gòu)、主要功能模塊以及系統(tǒng)的特點(diǎn)做了詳細(xì)的說(shuō)明。通過(guò)對(duì)系統(tǒng)調(diào)用計(jì)數(shù),來(lái)檢測(cè)計(jì)算機(jī)是否被入侵。通過(guò)多次實(shí)驗(yàn),記錄試驗(yàn)數(shù)據(jù),來(lái)檢測(cè)實(shí)際運(yùn)行的效果。對(duì)實(shí)驗(yàn)數(shù)據(jù)作出了必要的分析和說(shuō)明。通過(guò)對(duì)系統(tǒng)調(diào)用計(jì)數(shù),來(lái)檢測(cè)計(jì)算機(jī)是否被入侵。通過(guò)多次實(shí)驗(yàn),記錄試驗(yàn)數(shù)據(jù),來(lái)檢測(cè)實(shí)際運(yùn)行的效果。對(duì)實(shí)驗(yàn)數(shù)據(jù)作出了必要的分析和說(shuō)明。系統(tǒng)的流程框架為通過(guò)內(nèi)核程序設(shè)置寄存器位,進(jìn)入單步調(diào)試模式。

4、檢測(cè)目標(biāo)系統(tǒng)的文件相關(guān)函數(shù)。檢測(cè)目標(biāo)系統(tǒng)的進(jìn)程相關(guān)函數(shù)。檢測(cè)目標(biāo)系統(tǒng)的注冊(cè)表相關(guān)函數(shù)。檢測(cè)目標(biāo)系統(tǒng)的系統(tǒng)服務(wù)和驅(qū)動(dòng)相關(guān)函數(shù)。檢測(cè)目標(biāo)系統(tǒng)的端口相關(guān)函數(shù)。將結(jié)果與原始比對(duì)數(shù)據(jù)進(jìn)行比較,如果超過(guò)閥值就發(fā)出通知。 最后對(duì)全文進(jìn)行總結(jié),提出本系統(tǒng)進(jìn)一步的工作,并對(duì)Rootkit檢測(cè)系統(tǒng)的發(fā)展趨勢(shì)進(jìn)行了展望。本文主要完成了3個(gè)方面的工作,首先介紹了網(wǎng)絡(luò)安全現(xiàn)狀以及安全的一些背景知識(shí)；分析了各種網(wǎng)絡(luò)安全模型和技術(shù)；進(jìn)而引出Rootkit的概