Linux下LKM安全的分析與改進(jìn)研究.pdf

1、近年來(lái)Linux操作系統(tǒng)由于其出色的性能和穩(wěn)定性，開(kāi)放源代碼特性帶來(lái)的靈活性和擴(kuò)展性，獲得了空前蓬勃的發(fā)展，越來(lái)越多的商用產(chǎn)品開(kāi)始采用Linux作為其軟件平臺(tái)。 為了解決整體式內(nèi)核結(jié)構(gòu)的可擴(kuò)充性問(wèn)題，Linux引入了可加載內(nèi)核模塊(LoadableKernelModule(LKM))的機(jī)制，這使Linux操作系統(tǒng)更加模塊化。但是，Linux內(nèi)核對(duì)模塊的安全問(wèn)題未做全面的考慮，即使發(fā)展到2.6版本，內(nèi)核也沒(méi)有預(yù)留專門的安全接口供安

2、全模塊使用。這給LKM安全帶來(lái)很大的隱患。一直以來(lái)，利用LKM的核心態(tài)病毒成為最活躍的黑客研究領(lǐng)域。LKM模塊的安全機(jī)制沒(méi)有因?yàn)槠淇蓴U(kuò)展內(nèi)核模塊、運(yùn)行于內(nèi)核態(tài)的特殊性而加以強(qiáng)調(diào)。因此一般的檢測(cè)工具無(wú)法同Linux安全操作系統(tǒng)兼容，擴(kuò)展性不強(qiáng)，不能根據(jù)操作系統(tǒng)加載LKM模塊的行為特性，適時(shí)有效的檢測(cè)模塊安全以及阻止惡意模塊。 本文根據(jù)當(dāng)前LKM安全研究對(duì)Linux內(nèi)核安全的重要性，結(jié)合隨著Linux內(nèi)核版本對(duì)安全特性的改變，研究L

3、KM攻擊方法，總結(jié)LKM的安全特性，分析與利用安全操作系統(tǒng)研究成果，提出刪安全方面的改進(jìn)方案。其主要的工作包括： 1、分析與總結(jié)LKM攻擊中所使用的特殊操作的知識(shí)； 2、分析與實(shí)現(xiàn)LKM攻擊的方法，如：系統(tǒng)調(diào)用劫持、IDT劫持、LKM注入、模塊隱藏等，并給出針對(duì)2.6內(nèi)核下改進(jìn)的解決方案； 3、總結(jié)LKM安全的缺陷與核心問(wèn)題； 4、分析與總結(jié)LSM框架以及SELinux的原理以及它們對(duì)LKM安全的作用；