基于Windows平臺(tái)的Rootkit技術(shù)研究與應(yīng)用.pdf

1、隨著信息網(wǎng)絡(luò)技術(shù)的高速發(fā)展，人們?cè)絹?lái)越離不開(kāi)計(jì)算機(jī)和網(wǎng)絡(luò)的幫助，人們通過(guò)計(jì)算機(jī)儲(chǔ)存很多重要信息，由此而來(lái)的計(jì)算機(jī)網(wǎng)絡(luò)滲透、敏感信息竊取事件時(shí)有發(fā)生。Rootkit是一項(xiàng)操作系統(tǒng)底層技術(shù)，能夠持續(xù)獲得系統(tǒng)特權(quán)，同時(shí)通過(guò)破壞傳統(tǒng)操作系統(tǒng)的功能或其他應(yīng)用來(lái)隱藏它的存在。Rootkit技術(shù)最先被發(fā)明應(yīng)用于UNIX 系統(tǒng)中，隨后逐步發(fā)展到其他操作系統(tǒng)平臺(tái)上。目前針對(duì)Windows平臺(tái)下的Rootkit技術(shù)得到了廣泛的關(guān)注和研究。作為信息安全的攻擊

2、方與防御方，安全軟件與惡意軟件都在使用不同層次的Rootkit技術(shù)進(jìn)行信息的竊取與防護(hù)。Rootkit技術(shù)也是一項(xiàng)可以被黑客利用來(lái)進(jìn)行攻擊的技術(shù)，然而只有對(duì)于這類(lèi)攻擊技術(shù)有著很好的了解，才能進(jìn)一步研究如何對(duì)這種技術(shù)進(jìn)行檢測(cè)與防御。
　　 根據(jù)對(duì)操作系統(tǒng)入侵的層次，可以分為用戶級(jí)Rootkit和內(nèi)核級(jí)Rootkit。比較而言，用戶級(jí)Rootkit工作在操作系統(tǒng)的應(yīng)用層，具有輕便、通用性強(qiáng)的優(yōu)點(diǎn)；而內(nèi)核級(jí)Rootkit直接攻擊操作系

3、統(tǒng)的內(nèi)核，危害更大，功能更強(qiáng)大，更難以檢測(cè)，不過(guò)其工作需要環(huán)0權(quán)限，且兼容性較差。
　　 本文首先敘述了Rootkit技術(shù)的相關(guān)原理，包括用戶級(jí)與內(nèi)核級(jí)的原理，在此基礎(chǔ)上，提出了Rootkit攻擊的核心技術(shù)，包括掛鉤SSDT表、掛鉤IAT表、inline hook、過(guò)濾驅(qū)動(dòng)技術(shù)等技術(shù)，對(duì)每種技術(shù)的原理進(jìn)行詳細(xì)闡述并且給出了實(shí)現(xiàn)過(guò)程。在接著的章節(jié)中，研究了Windows Rootkit檢測(cè)的兩大類(lèi)方法，基于行為與基于交叉視圖的檢測(cè)