基于rootkit的主動(dòng)防御技術(shù)研究與實(shí)現(xiàn).pdf

1、微軟最初設(shè)計(jì)的基于NT架構(gòu)的操作系統(tǒng)，初衷是在滿足用戶對(duì)操作系統(tǒng)功能需求的基礎(chǔ)上，為用戶提供一個(gè)易于使用的系統(tǒng)界面。然而近年來(lái)隨著互聯(lián)網(wǎng)的普及和計(jì)算機(jī)的高速發(fā)展，針對(duì)Windows平臺(tái)的病毒和木馬技術(shù)的廣泛關(guān)注與研究，使得Windows的主機(jī)安全性問(wèn)題源源不斷地暴露出來(lái)。如何對(duì)主機(jī)的安全進(jìn)行防護(hù)、及時(shí)阻斷病毒和木馬對(duì)主機(jī)系統(tǒng)的攻擊、最大程度地降低主機(jī)系統(tǒng)的安全風(fēng)險(xiǎn)，已經(jīng)成為安全領(lǐng)域的一個(gè)重要研究?jī)?nèi)容。作為主機(jī)安全的攻擊方和防御方，病毒、

2、木馬與安全軟件產(chǎn)品都在使用不同層次的rootkit技術(shù)進(jìn)行信息的竊取與防護(hù)。只有對(duì)這類攻擊技術(shù)有著比較深入的認(rèn)識(shí)與了解，才能進(jìn)一步研究如何針對(duì)這類技術(shù)進(jìn)行檢測(cè)并作出主動(dòng)防御的策略。
　　本文一開(kāi)始就首先介紹了被rootkit廣泛使用的各種技術(shù)的原理，這些原理是作為本課題主動(dòng)防御系統(tǒng)的鋪墊，只有深入理解rootkit的相關(guān)技術(shù)原理才能夠提出對(duì)應(yīng)的檢測(cè)和防御方案。接著研究并實(shí)現(xiàn)了基于rootkit的主動(dòng)防御系統(tǒng)的檢測(cè)模塊和監(jiān)控模塊。根

3、據(jù)rootkit技術(shù)多樣性的特點(diǎn)提出了基于交叉對(duì)比的rootkit檢測(cè)方法，克服了傳統(tǒng)rootkit檢測(cè)工具針對(duì)rootkit檢測(cè)的單一性缺點(diǎn)。監(jiān)控模塊通過(guò)分析應(yīng)用程序的行為，創(chuàng)新性地通過(guò)掛鉤由用戶層進(jìn)入內(nèi)核層的必經(jīng)之路
　　KiFastCallEntry內(nèi)核函數(shù)，設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)易修改、易分工和具備良好擴(kuò)展性的主動(dòng)防御監(jiān)控框架。當(dāng)發(fā)現(xiàn)可疑的系統(tǒng)服務(wù)被調(diào)用時(shí)利用自己建立的規(guī)則來(lái)進(jìn)行攔截或者放行，這種策略不依賴于惡意程序的繁衍與變遷

4、，可以使防御技術(shù)不受制于惡意程序，并且通過(guò)注冊(cè)表的變動(dòng)回調(diào)來(lái)保護(hù)自身不被病毒和木馬破壞。通過(guò)在虛擬執(zhí)行環(huán)境下進(jìn)行的實(shí)驗(yàn)結(jié)果表明該框架具有非常良好的穩(wěn)定性和擴(kuò)展性。接下來(lái)對(duì)于進(jìn)程主動(dòng)防御、注冊(cè)表主動(dòng)防御和文件主動(dòng)防御的研究和實(shí)現(xiàn)都是基于該框架的。論文的最后設(shè)計(jì)并實(shí)現(xiàn)了驅(qū)動(dòng)防火墻，在rootkit加載驅(qū)動(dòng)的時(shí)候設(shè)置一道屏障以防止rootkit對(duì)主動(dòng)防御系統(tǒng)造成攻擊，相比較于傳統(tǒng)的反病毒反木馬軟件，該主動(dòng)防御系統(tǒng)具有極強(qiáng)的健壯性。另一方面通過(guò)