基于X86平臺可執(zhí)行代碼動態(tài)檢測技術(shù)的研究.pdf

1、近年來,隨著Internet的迅速發(fā)展,網(wǎng)絡(luò)安全問題顯得日益突出。目前,網(wǎng)絡(luò)上的攻擊方式逐漸呈現(xiàn)出一些新特點,從以前大規(guī)模的,無特定目的的網(wǎng)絡(luò)攻擊轉(zhuǎn)為小規(guī)模的,針對特定用戶和目的的攻擊。當(dāng)今的計算機(jī)容易受到各種入侵。其中Rootkit成為危害計算機(jī)安全的重要因素之一?，F(xiàn)有的檢測技術(shù),比如入侵檢測系統(tǒng),文件完整性檢測,很可能無法檢測出內(nèi)核級的Rootkit。 本文闡述了Rootkit基本原理和所采用技術(shù)的相關(guān)理論,介紹了Rootk

2、it檢測系統(tǒng)的類型和面臨的主要問題。詳細(xì)介紹了Rootkit入侵的手段與利用的主要技術(shù)手段。Rootkit的主要特點就是隱藏信息,比如運行進(jìn)程,服務(wù),Tcp/Ip端口,文件,注冊信息,用戶帳號等等,常見的是隱藏運行進(jìn)程,文件和注冊信息。Rootkit常用的隱藏技術(shù)有DLL感染,API鉤掛,線程注入,內(nèi)核數(shù)據(jù)操作。本文介紹了一些檢測Rootkit的技術(shù)和典型工具。 通過對Rootkit檢測方法的分析,并結(jié)合可執(zhí)行路徑分析技術(shù)的特點

3、,本文給出了一種基于x86平臺的Rootkit檢測系統(tǒng)的設(shè)計,并對系統(tǒng)的總體結(jié)構(gòu)、主要功能模塊以及系統(tǒng)的特點做了詳細(xì)的說明。通過對系統(tǒng)調(diào)用計數(shù),來檢測計算機(jī)是否被入侵。通過多次實驗,記錄試驗數(shù)據(jù),來檢測實際運行的效果。對實驗數(shù)據(jù)作出了必要的分析和說明。通過對系統(tǒng)調(diào)用計數(shù),來檢測計算機(jī)是否被入侵。通過多次實驗,記錄試驗數(shù)據(jù),來檢測實際運行的效果。對實驗數(shù)據(jù)作出了必要的分析和說明。系統(tǒng)的流程框架為通過內(nèi)核程序設(shè)置寄存器位,進(jìn)入單步調(diào)試模式。

4、檢測目標(biāo)系統(tǒng)的文件相關(guān)函數(shù)。檢測目標(biāo)系統(tǒng)的進(jìn)程相關(guān)函數(shù)。檢測目標(biāo)系統(tǒng)的注冊表相關(guān)函數(shù)。檢測目標(biāo)系統(tǒng)的系統(tǒng)服務(wù)和驅(qū)動相關(guān)函數(shù)。檢測目標(biāo)系統(tǒng)的端口相關(guān)函數(shù)。將結(jié)果與原始比對數(shù)據(jù)進(jìn)行比較,如果超過閥值就發(fā)出通知。 最后對全文進(jìn)行總結(jié),提出本系統(tǒng)進(jìn)一步的工作,并對Rootkit檢測系統(tǒng)的發(fā)展趨勢進(jìn)行了展望。本文主要完成了3個方面的工作,首先介紹了網(wǎng)絡(luò)安全現(xiàn)狀以及安全的一些背景知識；分析了各種網(wǎng)絡(luò)安全模型和技術(shù)；進(jìn)而引出Rootkit的概