基于視窗操作系統(tǒng)的程序隱藏技術(shù)研究.pdf

1、Rootkit 技術(shù)是各種攻擊中通常采用的技術(shù)，它為惡意軟件提供了隱藏行跡的功能。因此，為保護用戶計算機安全，對Windows 操作系統(tǒng)環(huán)境下的Rootkit 技術(shù)展開研究，不僅在犯罪嫌疑人的遠程監(jiān)控及遠程特定信息獲取中具有重要的理論和實踐意義，而且在特定用戶信息的保護中也具有較高價值。
　　 從用戶模式和內(nèi)核模式兩個方面分別分析了Rootkit 程序采用的主要技術(shù)，歸納并說明了常用的Rootkit 檢測技術(shù)和檢測原理。以此為基

2、礎(chǔ)，闡述了一個基于Rootkit原理的且封裝了TCP（Transmission Control Protocol）通信和NDIS（Network DriverInterface Specification）通信兩種通信方式的PCTS（Program Concealment Tools）系統(tǒng)的設(shè)計思想，分析了該系統(tǒng)的應用場景，給出了PCTS系統(tǒng)的功能需求，如通信、隱藏等。按照自頂向下的設(shè)計原則，論述了PCTS系統(tǒng)的體系結(jié)構(gòu)和工作流程，闡明

3、了系統(tǒng)啟動模塊、通信模塊、命令解析模塊和隱藏模塊的具體設(shè)計。
　　 基于NDIS 協(xié)議驅(qū)動的原理及通信函數(shù)封裝原理，給出了NDIS 協(xié)議驅(qū)動的實現(xiàn)、應用程序和驅(qū)動的交互方式及NDIS 協(xié)議驅(qū)動采用的通信保障機制。在此基礎(chǔ)上，基于NDIS 協(xié)議驅(qū)動實現(xiàn)了一個可以隱藏通信端口的中間層API（ApplicationProgramming Interface）。說明了PCTS 系統(tǒng)具體實現(xiàn)，其中著重論述了隱藏模塊的實現(xiàn)，包括用戶模式隱藏