基于Windows平臺的Rootkit技術(shù)研究與應(yīng)用.pdf

1、隨著信息網(wǎng)絡(luò)技術(shù)的高速發(fā)展，人們越來越離不開計算機和網(wǎng)絡(luò)的幫助，人們通過計算機儲存很多重要信息，由此而來的計算機網(wǎng)絡(luò)滲透、敏感信息竊取事件時有發(fā)生。Rootkit是一項操作系統(tǒng)底層技術(shù)，能夠持續(xù)獲得系統(tǒng)特權(quán)，同時通過破壞傳統(tǒng)操作系統(tǒng)的功能或其他應(yīng)用來隱藏它的存在。Rootkit技術(shù)最先被發(fā)明應(yīng)用于UNIX 系統(tǒng)中，隨后逐步發(fā)展到其他操作系統(tǒng)平臺上。目前針對Windows平臺下的Rootkit技術(shù)得到了廣泛的關(guān)注和研究。作為信息安全的攻擊

2、方與防御方，安全軟件與惡意軟件都在使用不同層次的Rootkit技術(shù)進行信息的竊取與防護。Rootkit技術(shù)也是一項可以被黑客利用來進行攻擊的技術(shù)，然而只有對于這類攻擊技術(shù)有著很好的了解，才能進一步研究如何對這種技術(shù)進行檢測與防御。
　　 根據(jù)對操作系統(tǒng)入侵的層次，可以分為用戶級Rootkit和內(nèi)核級Rootkit。比較而言，用戶級Rootkit工作在操作系統(tǒng)的應(yīng)用層，具有輕便、通用性強的優(yōu)點；而內(nèi)核級Rootkit直接攻擊操作系

3、統(tǒng)的內(nèi)核，危害更大，功能更強大，更難以檢測，不過其工作需要環(huán)0權(quán)限，且兼容性較差。
　　 本文首先敘述了Rootkit技術(shù)的相關(guān)原理，包括用戶級與內(nèi)核級的原理，在此基礎(chǔ)上，提出了Rootkit攻擊的核心技術(shù)，包括掛鉤SSDT表、掛鉤IAT表、inline hook、過濾驅(qū)動技術(shù)等技術(shù)，對每種技術(shù)的原理進行詳細闡述并且給出了實現(xiàn)過程。在接著的章節(jié)中，研究了Windows Rootkit檢測的兩大類方法，基于行為與基于交叉視圖的檢測