進(jìn)程隱藏技術(shù)及其在惡意代碼檢測(cè)中的應(yīng)用.pdf

1、隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全備受人們的關(guān)注?，F(xiàn)在的病毒木馬不再單純的以炫耀技術(shù)，破壞用戶系統(tǒng)為目的，更多的是潛行在系統(tǒng)中收集數(shù)據(jù)、竊取用戶私密信息以牟取錢財(cái)。為了能夠長(zhǎng)期的潛行在系統(tǒng)中不被用戶和殺毒軟件發(fā)現(xiàn)，后門程序通常采用了隱藏技術(shù)，其中隱藏自身進(jìn)程是其最基本的功能之一。
　　 本文首先回顧了Rootkit的發(fā)展歷史，并深入探討了Rootkit隱藏進(jìn)程的原理，即掛鉤一些關(guān)鍵的API函數(shù)和系統(tǒng)服務(wù)函數(shù)、修改系統(tǒng)內(nèi)存和內(nèi)核對(duì)象等，接

2、著詳細(xì)分析了用戶模式下的IAT HOOK、Inline HOOK以及內(nèi)核模式下的IDT HOOK、SSDTHOOK、直接內(nèi)核對(duì)象操作等技術(shù)。最后對(duì)幾個(gè)經(jīng)典的Rootkit檢測(cè)工具進(jìn)行了分析。但是，這些工具針對(duì)性很強(qiáng)只能檢測(cè)出某些特定Rootkit，無法檢測(cè)到采用了其他技術(shù)的Rootkit，而且還容易受到惡意代碼的破壞以達(dá)到篡改檢測(cè)結(jié)果欺騙用戶的不法目的。
　　 本文在分析了Rootkit隱藏進(jìn)程所利用的各種技術(shù)的基礎(chǔ)上，設(shè)計(jì)了一

3、個(gè)具有自身完整性保護(hù)功能的多層次多方法隱藏進(jìn)程檢測(cè)系統(tǒng)模型。自我完整性保護(hù)用來保護(hù)檢測(cè)系統(tǒng)不被具有反檢測(cè)功能的Rootkit所破壞，保證了檢測(cè)結(jié)果的正確性。在檢測(cè)隱藏進(jìn)程時(shí)，檢測(cè)系統(tǒng)分別從用戶層和內(nèi)核層兩個(gè)層次對(duì)Rootkit可能修改的地方進(jìn)行檢測(cè)，并且在每個(gè)層面都采用了多種檢測(cè)方法，在用戶層實(shí)現(xiàn)了直接內(nèi)核函數(shù)調(diào)用檢測(cè)方法；在內(nèi)核層實(shí)現(xiàn)了各種鉤子檢測(cè)方法、基于內(nèi)核對(duì)象的檢測(cè)方法以及基于線程調(diào)度的檢測(cè)方法，惡意代碼將會(huì)很難應(yīng)對(duì)這么多的檢測(cè)