Rootkit的改進(jìn)型實(shí)現(xiàn)與檢測(cè)技術(shù)研究.pdf

1、隨著計(jì)算機(jī)互聯(lián)網(wǎng)應(yīng)用技術(shù)的發(fā)展，基于互聯(lián)網(wǎng)商業(yè)模式的普及，導(dǎo)致了計(jì)算機(jī)病毒、木馬等惡意程序的爆炸式的增長(zhǎng)，嚴(yán)重威脅了計(jì)算機(jī)網(wǎng)絡(luò)的安全。由于微軟Windows系統(tǒng)的廣泛使用率，近年來(lái)針對(duì)Windows平臺(tái)的惡意軟件與木馬病毒得到了廣泛的關(guān)注與研究。作為以能夠持久可靠地、無(wú)法檢測(cè)地存在計(jì)算機(jī)為目的的Rootkit技術(shù)成為了主機(jī)檢測(cè)技術(shù)研究的熱點(diǎn)。
　　本文首先介紹分析了Windows系統(tǒng)中與Rootkit有關(guān)的知識(shí)，包括系統(tǒng)Ring0

2、級(jí)和Ring3級(jí)介紹，系統(tǒng)中內(nèi)核內(nèi)存的布局和內(nèi)存的保護(hù)、常用突破寫保護(hù)內(nèi)存的方法闡述了內(nèi)核驅(qū)動(dòng)模式及PE文件格式?？偨Y(jié)了Rootkit常用的技術(shù)原理。在深入理解Rootkit相關(guān)技術(shù)原理的基礎(chǔ)之上，提出了針對(duì)傳統(tǒng)SSDT掛鉤的改進(jìn)型方案。并針對(duì)目前主流殺毒軟件對(duì)KiFastCallEntry掛鉤提出了躲避方案，同時(shí)給出了具體的實(shí)現(xiàn)原理、設(shè)計(jì)思路以及實(shí)驗(yàn)測(cè)試。
　　針對(duì)傳統(tǒng)的Rootkit檢測(cè)技術(shù)的不足提出了改進(jìn)，設(shè)計(jì)實(shí)現(xiàn)了Root

3、kit檢測(cè)框架模型，對(duì)基于傳統(tǒng)系統(tǒng)調(diào)用的異常檢測(cè)模型：短序列（N-gram）模型，有窮自動(dòng)機(jī)模型，基于頻率的KNN（K-Nearest Neighbor）模型進(jìn)行了對(duì)比分析。在原有的系統(tǒng)調(diào)用序列算法的基礎(chǔ)之上，提出了利用Rootkit的典型特征行為來(lái)表征程序行為，增加了系統(tǒng)調(diào)用參數(shù)因素對(duì)系統(tǒng)調(diào)用權(quán)重的影響，通過(guò)層次分析法中對(duì)比矩陣來(lái)精確量化個(gè)系統(tǒng)調(diào)用的權(quán)重，最后通過(guò)模糊識(shí)別的方法來(lái)對(duì)待檢測(cè)程序進(jìn)行分類，該改進(jìn)減少了傳統(tǒng)異常檢測(cè)模型的時(shí)間