Rootkit技術(shù)在第三方信息安全防護(hù)系統(tǒng)中的應(yīng)用研究.pdf

1、權(quán)威部門的調(diào)查結(jié)果表明，超過80％的安全威脅來自內(nèi)部人員犯罪或通過內(nèi)部進(jìn)行的攻擊。內(nèi)部人員通常很容易獲得存儲信息的計算機終端的完全控制權(quán)，現(xiàn)在居于壟斷地位的Windows NT系列操作系統(tǒng)對于信息安全只提供一些最基礎(chǔ)的支持，完全不能滿足當(dāng)前需求，因此研究在第三方信息安全防護(hù)系統(tǒng)中如何防止內(nèi)部信息犯罪很有必要。
　　 Rootkit是近年來出現(xiàn)的一種黑客借以躲避反病毒軟件和系統(tǒng)管理實用工具查殺的技術(shù)。但是rootkit并非天生邪惡

2、，它僅僅是一種技術(shù)，美好或是邪惡完全取決于使用它們的人。換個角度，可以把rootkit理解為一種用來在目標(biāo)系統(tǒng)上隱藏自己的蹤跡和保留root最高訪問權(quán)限，神不知鬼不覺地實現(xiàn)自己功能的技術(shù)。
　　 介紹了幾種可以在信息安全領(lǐng)域應(yīng)用的Windows內(nèi)核rootkit技術(shù)：內(nèi)核鉤子技術(shù)、分層驅(qū)動技術(shù)、直接內(nèi)核對象操作技術(shù)，從系統(tǒng)安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全三個方面論述了這些rootkit技術(shù)在Windows第三方信息安全防護(hù)系統(tǒng)中的應(yīng)用，

3、并分析了它們相比于傳統(tǒng)方法的優(yōu)勢，給出了一個利用SSDT鉤子技術(shù)保護(hù)客戶端系統(tǒng)程序進(jìn)程和注冊表項、利用TDI傳輸驅(qū)動接口程序和IRP鉤子技術(shù)構(gòu)建和保護(hù)系統(tǒng)客戶端和服務(wù)器間的網(wǎng)絡(luò)通信端口、利用DKOM技術(shù)隱藏驅(qū)動程序、利用文件系統(tǒng)過濾驅(qū)動技術(shù)進(jìn)行文件訪問控制和文件透明加解密、利用NDIS網(wǎng)絡(luò)中間層驅(qū)動技術(shù)進(jìn)行網(wǎng)絡(luò)訪問控制和網(wǎng)絡(luò)通信數(shù)據(jù)透明加解密的系統(tǒng)解決方案，給信息安全領(lǐng)域核心問題：系統(tǒng)自保護(hù)、文件訪問控制及加解密、網(wǎng)絡(luò)訪問控制等提供了在