基于LINUX環(huán)境木馬檢測(cè)技術(shù)的的研究.pdf

1、近年來(lái)Linux系統(tǒng)在服務(wù)器領(lǐng)域的占有率一路攀升，尤其是在云計(jì)算領(lǐng)域。但是由于源代碼開(kāi)放，Linux面臨著日趨嚴(yán)峻的安全挑戰(zhàn)。Linux環(huán)境下的內(nèi)核級(jí)Rootkit類(lèi)型木馬擁有與操作系統(tǒng)內(nèi)核相同的權(quán)限，能夠修改系統(tǒng)中任何數(shù)據(jù)與代碼，成為了隱藏性極高、檢測(cè)難度極大的一類(lèi)惡意木馬軟件，對(duì)Linux系統(tǒng)安全構(gòu)成了非常嚴(yán)重的威脅，研究Linux環(huán)境下內(nèi)核級(jí)Rootkit類(lèi)型木馬的檢測(cè)技術(shù)具有非常重要的意義。QEMU虛擬化技術(shù)能夠支持硬件虛擬化和

2、具有高于客戶機(jī)操作系統(tǒng)內(nèi)核級(jí)別的權(quán)限以及對(duì)客戶機(jī)系統(tǒng)的隔離性，為內(nèi)核級(jí)Rootkit類(lèi)型木馬檢測(cè)技術(shù)的實(shí)現(xiàn)提供了可信保證。因此，在理論上利用QEMU技術(shù)的Rootkit的檢測(cè)技術(shù)能夠有效的檢測(cè)出內(nèi)核級(jí)Rootkit類(lèi)型木馬。
　　本研究主要內(nèi)容包括：⑴對(duì)相關(guān)技術(shù)進(jìn)行論述，包括 Linux內(nèi)核結(jié)構(gòu)與相關(guān)特性、Rootkit的特征與危害、Linux環(huán)境下Rootkit核心技術(shù)以及QEMU虛擬化技術(shù)和虛擬機(jī)檢測(cè)技術(shù)。⑵從總體目標(biāo)、需求和

3、原則三個(gè)方面，再針對(duì)傳統(tǒng)的檢測(cè)模型和現(xiàn)有的虛擬機(jī)檢測(cè)模型進(jìn)行分析比較，提出了一種改進(jìn)的虛擬機(jī)檢測(cè)模型，并在此模型上設(shè)計(jì)出基于QEMU檢測(cè)Rootkit工具的總體框架。最后在此框架下衍生拓展出兩個(gè)檢測(cè)插件：靜態(tài)內(nèi)存分析插件和動(dòng)態(tài)識(shí)別進(jìn)程插件。⑶分析QEMU內(nèi)存虛擬化技術(shù)，從 dump虛擬機(jī)內(nèi)存與分析內(nèi)存信息兩個(gè)方面，設(shè)計(jì)并實(shí)現(xiàn)了靜態(tài)內(nèi)存分析插件。⑷分析QEMU動(dòng)態(tài)翻譯技術(shù)，從動(dòng)態(tài)捕獲進(jìn)程和提取進(jìn)程信息兩個(gè)方面，設(shè)計(jì)并實(shí)現(xiàn)了動(dòng)態(tài)識(shí)別進(jìn)程插件