Rootkit的改進(jìn)型實現(xiàn)與檢測技術(shù)研究.pdf

1、隨著計算機互聯(lián)網(wǎng)應(yīng)用技術(shù)的發(fā)展，基于互聯(lián)網(wǎng)商業(yè)模式的普及，導(dǎo)致了計算機病毒、木馬等惡意程序的爆炸式的增長，嚴(yán)重威脅了計算機網(wǎng)絡(luò)的安全。由于微軟Windows系統(tǒng)的廣泛使用率，近年來針對Windows平臺的惡意軟件與木馬病毒得到了廣泛的關(guān)注與研究。作為以能夠持久可靠地、無法檢測地存在計算機為目的的Rootkit技術(shù)成為了主機檢測技術(shù)研究的熱點。
　　本文首先介紹分析了Windows系統(tǒng)中與Rootkit有關(guān)的知識，包括系統(tǒng)Ring0

2、級和Ring3級介紹，系統(tǒng)中內(nèi)核內(nèi)存的布局和內(nèi)存的保護(hù)、常用突破寫保護(hù)內(nèi)存的方法闡述了內(nèi)核驅(qū)動模式及PE文件格式?？偨Y(jié)了Rootkit常用的技術(shù)原理。在深入理解Rootkit相關(guān)技術(shù)原理的基礎(chǔ)之上，提出了針對傳統(tǒng)SSDT掛鉤的改進(jìn)型方案。并針對目前主流殺毒軟件對KiFastCallEntry掛鉤提出了躲避方案，同時給出了具體的實現(xiàn)原理、設(shè)計思路以及實驗測試。
　　針對傳統(tǒng)的Rootkit檢測技術(shù)的不足提出了改進(jìn)，設(shè)計實現(xiàn)了Root

3、kit檢測框架模型，對基于傳統(tǒng)系統(tǒng)調(diào)用的異常檢測模型：短序列（N-gram）模型，有窮自動機模型，基于頻率的KNN（K-Nearest Neighbor）模型進(jìn)行了對比分析。在原有的系統(tǒng)調(diào)用序列算法的基礎(chǔ)之上，提出了利用Rootkit的典型特征行為來表征程序行為，增加了系統(tǒng)調(diào)用參數(shù)因素對系統(tǒng)調(diào)用權(quán)重的影響，通過層次分析法中對比矩陣來精確量化個系統(tǒng)調(diào)用的權(quán)重，最后通過模糊識別的方法來對待檢測程序進(jìn)行分類，該改進(jìn)減少了傳統(tǒng)異常檢測模型的時間