基于Windows操作系統(tǒng)的Rootkit檢測系統(tǒng)研究.pdf

1、Rootkit是能持久的存在于計算機上而難以被檢測的一組程序或代碼,是惡意軟件用來隱藏自己的蹤跡和保留計算機超級用戶權(quán)限的工具。Rootkit的嚴(yán)重危害性表現(xiàn)在它擁有目標(biāo)計算機的超級用戶權(quán)限,可以在用戶不知道的情況下對目標(biāo)計算機進(jìn)行隨心所欲的操控。不斷發(fā)展的Rootkit技術(shù)甚至能攻破Rootkit檢測軟件,并通過修改Rootkit檢測軟件的執(zhí)行邏輯使Rootkit檢測軟件失效。
　　 本文首先對Rootkit采用的技術(shù)和發(fā)展趨

2、勢進(jìn)行了分析,對Rootkit檢測工具的現(xiàn)狀進(jìn)行了總結(jié);對與Rootkit緊密相關(guān)的windows操作系統(tǒng)進(jìn)行了研究,包括訪問控制機制、內(nèi)存分頁和尋址方式、進(jìn)程和線程、可加載內(nèi)核模塊(驅(qū)動)、系統(tǒng)服務(wù)調(diào)度表、中斷描述符表、PE文件的結(jié)構(gòu)和加載方式、操作系統(tǒng)信息查詢函數(shù)等。在對Rootkit新技術(shù)、RootMt檢測工具缺陷性和windows操作系統(tǒng)脆弱性三個方面進(jìn)行分析的基礎(chǔ)上,設(shè)計了一個自檢子系統(tǒng)和Rootkit檢測子系統(tǒng)相互獨立的Ro

3、otkit檢測系統(tǒng)。
　　 本文對Rootkit檢測子系統(tǒng)進(jìn)行了詳細(xì)設(shè)計。對文件完整性檢測,提出基于待檢測模塊可重復(fù)隨機組合求取MD5信息摘要的檢測算法和具體的文件完整性檢測流程;通過對鉤子函數(shù)采用的不同技術(shù)進(jìn)行分析后,提出基于函數(shù)地址可接受范圍和函數(shù)起始64字節(jié)一致性檢測鉤子;通過對注冊表文件和注冊表查詢的分析,提出基于HIVE文件的隱藏注冊表檢測;通過對Rootkit隱藏文件技術(shù)和磁盤文件存儲方式的研究,提出基于直接磁盤文件

4、讀取檢測隱藏文件;通過對Rootkit的系統(tǒng)消息鉤子和直接內(nèi)核對象操作技術(shù)研究,提出基于內(nèi)核對象句柄和線程調(diào)度隊列檢測隱藏進(jìn)程。在Rootkit檢測子系統(tǒng)自保護(hù)方面,隱藏了與Rootkit檢測子系統(tǒng)相關(guān)的文件、進(jìn)程和驅(qū)動,并設(shè)計了提前啟動方式,在降低系統(tǒng)的誤檢率方面,通過專門的數(shù)據(jù)分析模塊對各檢測模塊上報的疑似Rootkit進(jìn)行再分析。
　　 本文將自檢子系統(tǒng)和Rootkit檢測子系統(tǒng)設(shè)計成沒有直接依賴和調(diào)用關(guān)系的兩個獨立子系統(tǒng)