windows系統(tǒng)Root腸t檢測技術(shù)的研究.pdf

1、Rootkit是能夠長久且難以檢測地存在于計算機系統(tǒng)中的一套程序和代碼。由于Windows操作系統(tǒng)的普及性，針對Windows系統(tǒng)的Rootkit逐漸流行起來。Windows：Rootldt能夠?qū)Σ僮飨到y(tǒng)中的對象(比如文件、進程、端口,等)進行隱藏，因此惡意軟件利用Rootkit來隱藏攻擊痕跡、躲避監(jiān)控軟件的探測，使系統(tǒng)管理員很難發(fā)現(xiàn)系統(tǒng)中己存在著異常。這樣，計算機系統(tǒng)就具有了很大的安全隱患。為此，對可能存在于Windows操作系統(tǒng)中的

2、Rootld進行檢測，將有助于實現(xiàn)計算機系統(tǒng)的安全、可靠運行。
　　 本文首先介紹了與Windows Rootkit及其檢測技術(shù)相關的Windows操作系統(tǒng)運行機制，主要包括x86處理器的Ring0和Ring3權(quán)限、Windows系統(tǒng)的體系結(jié)構(gòu)及其地址空間、Windows系統(tǒng)中虛擬地址到物理地址的轉(zhuǎn)換機制以及進程和線程的相關概念。接著給出了Rootldt的定義及其分類，并且著重分析了Windows Rootkit主要使用的兩類隱

3、藏技術(shù)，即修改程序執(zhí)行路徑技術(shù)和直接內(nèi)核對象操作技術(shù)。在修改程序執(zhí)行路徑技術(shù)中，主要分析了導入地址表鉤子、系統(tǒng)服務調(diào)度表鉤子、內(nèi)聯(lián)函數(shù)鉤子、中斷描述符表鉤子以及I／O請求報文主函數(shù)表鉤子的實現(xiàn)原理；而在直接內(nèi)核對象操作技術(shù)中，則主要分析了Rootkit如何利用該技術(shù)實現(xiàn)進程和設備驅(qū)動程序的隱藏。然后深入分析和研究了目前Windows Rootldt的主要檢測技術(shù)，即特征碼檢測法、地址分析檢測法、交叉視圖檢測法、執(zhí)行路徑檢測法以及完整性檢

4、測法，并分別指出了它們的優(yōu)點及存在的不足。在對Windows操作系統(tǒng)運行機制、Windows Rootkit隱藏技術(shù)及其檢測技術(shù)分析與研究的基礎上，本文設計并實現(xiàn)了一個Windows Rootkit檢測程序。該檢測程序主要由Rootkit檢測模塊、主控制模塊以及自我保護模塊三部分組成。其中，Rootkit檢測模塊主要負責對用戶空間和內(nèi)核空間中的Rootkit隱藏行為進行檢測，利用基于地址分析的檢測思想實現(xiàn)對導入地址表鉤子、系統(tǒng)服務調(diào)度表

5、鉤子、內(nèi)聯(lián)函數(shù)鉤子以及I／O請求報文主函數(shù)表鉤子的檢測；利用基于交叉視圖的檢測思想實現(xiàn)對隱藏系統(tǒng)運行進程和隱藏設備驅(qū)動程序的檢測。主控制模塊則主要負責Rootkit檢測模塊中驅(qū)動程序的加載與卸載、檢測模塊應用程序部分與驅(qū)動程序部分的通信以及檢測結(jié)果的匯總與顯示。而自我保護模塊則主要利用SHA-1算法對Rootkit檢測模塊和主控制模塊進行完整性保護，并對受到破壞的模塊進行恢復操作。此外，在Rootldt檢測程序的具體實現(xiàn)過程中，對檢測算