Windows環(huán)境下針對Rootkit隱藏技術(shù)的木馬檢測技術(shù).pdf

1、近年來,隨著互聯(lián)網(wǎng)應(yīng)用的迅猛發(fā)展和互聯(lián)網(wǎng)用戶的快速增加,網(wǎng)絡(luò)安全問題也日益突出。用戶在享受網(wǎng)絡(luò)所帶來的便利與快捷時,也在承受著諸如病毒、木馬等惡意程序的威脅。雖然世界各國對給予網(wǎng)絡(luò)安全嚴重威脅的病毒、木馬等惡意程序高度的重視,但對隱藏在巨大灰色經(jīng)濟利益下的惡意程序來說,仍然顯得力不從心?；ヂ?lián)網(wǎng)面臨的危險根源在于其開放式的體系結(jié)構(gòu),不可靠的網(wǎng)絡(luò)協(xié)議以及運行在各種網(wǎng)絡(luò)設(shè)備上漏洞百出的操作系統(tǒng)。面對木馬程序,互聯(lián)網(wǎng)用戶的機器時刻暴露于黑客的控

2、制監(jiān)控之下,黑客可以非常方便的獲取用戶的賬號信息,私人資料或商業(yè)秘密,也可能會將用戶的機器作為攻擊其它機器的終端。相比傳統(tǒng)病毒而言,木馬程序具有更大的破壞性和危險性。因此,反木馬領(lǐng)域的研究一直是信息安全領(lǐng)域的重點和熱點。
　　 目前木馬檢測技術(shù)大多為特征碼掃描、完整性檢測和虛擬機檢測。三種檢測技術(shù)的原理及優(yōu)缺點:特征碼掃描檢測速度快,誤報率低,但需要龐大的特征庫支撐,無法檢測變形和未知的木馬軟件；完整性檢測能夠有效檢測到木馬軟件

3、對文件的修改,但完整性檢測是假設(shè)裝入系統(tǒng)中的文件沒有被木馬軟件惡意修改,因此完整性檢測無法發(fā)現(xiàn)裝入系統(tǒng)前已被木馬修改的文件；虛擬機檢測技術(shù)可以有效對付加密變形的木馬軟件,但木馬軟件仍然會有多種方式繞過其檢測,如使用特殊指令,使用結(jié)構(gòu)化異常等。
　　 隨著新的Rootkit技術(shù)在木馬軟件中的廣泛應(yīng)用,使得現(xiàn)有的木馬檢測軟件面臨前所未有的挑戰(zhàn)。采用Rootkit技術(shù)的木馬能夠?qū)崿F(xiàn)深度隱藏,包括進程、木馬原文件、通信方式、注冊表等。根