Rootkit的檢測(cè)與防御技術(shù)的設(shè)計(jì)與研究.pdf

1、Windows系列的操作系統(tǒng)是目前大家所使用的最流行的操作系統(tǒng)，基于Windows平臺(tái)的各種應(yīng)用程序也是層出不窮，為我們的工作生活提供了極大的方便。不過(guò)一些別有用心的人開(kāi)發(fā)一些惡意程序，這些惡意程序也是不斷升級(jí)，對(duì)我們的正常使用安全造成了很大的威脅。
　　一些惡意的病毒木馬通過(guò)更新升級(jí)來(lái)對(duì)抗殺毒程序等安全軟件，企圖搶占系統(tǒng)的最高權(quán)限來(lái)擴(kuò)展其惡意行為，這些惡意軟件可以對(duì)抗主流的安全軟件，并且其在不斷更新升級(jí)，不斷進(jìn)步，如果讓其一直為

2、所欲為，這將會(huì)給我們?nèi)粘５墓ぷ骱蜕顜?lái)不可估量的損失。
　　綜上所述，探究惡意病毒木馬的行為以及分析其原理，開(kāi)發(fā)相應(yīng)的安全工具來(lái)檢測(cè)對(duì)抗惡意程序，尤其是對(duì)RootKit的檢測(cè)與防御軟件越來(lái)越有必要。Windows不是開(kāi)源的操作系統(tǒng)，這無(wú)形之中增加了研究難度，實(shí)現(xiàn)一款功能完善的內(nèi)核級(jí)反RootKit絕非易事。不過(guò)，這也使得對(duì)抗分析病毒木馬變得更加有價(jià)值。
　　本文基于上述背景，探究主流的RootKit技術(shù)及其檢測(cè)技術(shù)，設(shè)計(jì)并

3、實(shí)現(xiàn)一款功能完善的內(nèi)核級(jí)Anti-RootKit軟件。該軟件具有進(jìn)程管理，內(nèi)核鉤子檢測(cè)，系統(tǒng)模塊與服務(wù)枚舉檢測(cè)等功能，主要有如下特點(diǎn)：
　　(1)采用主動(dòng)防御技術(shù)，搶先占領(lǐng)內(nèi)核。
　　(2)在內(nèi)核中構(gòu)造過(guò)濾規(guī)則，避免木馬搶占內(nèi)核。
　　(3)對(duì)系統(tǒng)敏感區(qū)域，系統(tǒng)目錄，進(jìn)程操作，注冊(cè)表操作等進(jìn)行記錄。
　　經(jīng)測(cè)試分析，本程序可以成功檢測(cè)和攔截RootKit木馬，起到主動(dòng)防御的作用，軟件使用簡(jiǎn)單，靈活，具備基本的防護(hù)