Win32平臺(tái)下內(nèi)核Rootkit檢測(cè)技術(shù)的研究與應(yīng)用.pdf

1、隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展，網(wǎng)絡(luò)滲透，敏感信息盜取等攻擊行為每天都發(fā)生在我們的身邊。信息安全的矛與盾，攻擊與防御技術(shù)總是互相促進(jìn)的。Rootkit技術(shù)是攻擊者用來保持對(duì)系統(tǒng)的持續(xù)控制權(quán)并且隱蔽攻擊行為與后門程序痕跡的一種技術(shù)。Rootkit軟件最早被應(yīng)用于UNIX系統(tǒng)中，隨后逐漸發(fā)展到其它的操作系統(tǒng)平臺(tái)，其中，針對(duì)Win32平臺(tái)下的Rootkit技術(shù)得到了廣泛的關(guān)注和研究。Rootkit技術(shù)是一種黑客攻擊技術(shù)，而為了能夠更好的防御Root

2、kit技術(shù)的攻擊，首先就必須對(duì)Rootkit技術(shù)有一定研究。根據(jù)對(duì)操作系統(tǒng)入侵的層次，可以分為應(yīng)用級(jí)Rootkit和內(nèi)核級(jí)Rootkit。比較而言，應(yīng)用級(jí)Rootkit僅僅工作在操作系統(tǒng)的應(yīng)用層，而內(nèi)核級(jí)Rootkit直接攻擊操作系統(tǒng)的內(nèi)核，因此危害更大，功能更強(qiáng)大，更難以檢測(cè)。 本文闡述了Win32系列操作系統(tǒng)的基本架構(gòu)以及與Rootkit技術(shù)相關(guān)的內(nèi)核原理，在此基礎(chǔ)上，提出了幾種內(nèi)核Rootkit攻擊技術(shù)，包括掛鉤SSDT表

3、、過濾驅(qū)動(dòng)技術(shù)、內(nèi)核對(duì)象修改，對(duì)每種技術(shù)的原理進(jìn)行詳細(xì)闡述并且給出了實(shí)現(xiàn)過程。同時(shí)針對(duì)這些重要的Rootkit實(shí)現(xiàn)技術(shù)，研究了現(xiàn)存的各種Windows Rootkit檢測(cè)方法，對(duì)這些方法進(jìn)行了詳細(xì)的闡述并給出了實(shí)現(xiàn)。利用這些實(shí)現(xiàn)技術(shù)，分析并檢測(cè)了目前著名的Windows Rootkit。對(duì)檢測(cè)情況做了評(píng)述，指出了現(xiàn)在檢測(cè)方法的缺陷以及需要改進(jìn)的地方。針對(duì)最新Rootkit發(fā)展的趨勢(shì)，研究和分析了Bootkit的實(shí)現(xiàn)機(jī)制和系統(tǒng)原理，并在此