基于系統(tǒng)虛擬化技術(shù)的內(nèi)核態(tài)Rootkit檢測(cè).pdf

1、內(nèi)核態(tài)Rootkit是惡意代碼中隱藏性最好，最難以檢測(cè)的一類惡意代碼。而隨著云計(jì)算服務(wù)的快速發(fā)展，內(nèi)核態(tài)Rootkit更成為了云計(jì)算中的一個(gè)重要威脅。如何保證在云計(jì)算環(huán)境下的數(shù)據(jù)安全，如何在虛擬化的環(huán)境下利用虛擬機(jī)技術(shù)進(jìn)行惡意代碼檢測(cè)更成為研究的重點(diǎn)。本文就主要研究了基于虛擬機(jī)技術(shù)的內(nèi)核態(tài)Rootkit檢測(cè)問(wèn)題。
　　本文首先介紹了對(duì)rootkit的攻擊原理及其檢測(cè)技術(shù)進(jìn)行了分析介紹。我們首先對(duì)內(nèi)核態(tài)rootkit的攻擊原理進(jìn)行深

2、入分析，并結(jié)合LKM的機(jī)制，發(fā)現(xiàn)內(nèi)核態(tài)rootkit最主要的特征是對(duì)內(nèi)核關(guān)鍵數(shù)據(jù)進(jìn)行更改和隱藏自身和相關(guān)惡意軟件的信息。然后針對(duì)這些特征介紹目前主要的檢測(cè)技術(shù)：傳統(tǒng)檢測(cè)方法和基于虛擬機(jī)的檢測(cè)方法。傳統(tǒng)檢測(cè)方法主要針對(duì)內(nèi)核態(tài)rootkit篡改內(nèi)核關(guān)鍵數(shù)據(jù)進(jìn)行檢測(cè)?；谔摂M機(jī)的檢測(cè)方法主要針對(duì)內(nèi)核態(tài)rootkit隱藏信息這一特性進(jìn)行檢測(cè)。
　　傳統(tǒng)針對(duì)Rootkit的檢測(cè)方法主要是針對(duì)其特征碼等靜態(tài)特征進(jìn)行檢測(cè)，在針對(duì)用戶態(tài)Rootk

3、it的檢測(cè)上效果較好，但是在對(duì)內(nèi)核態(tài)Rootkit檢測(cè)時(shí)效果卻不理想。本課題針對(duì)內(nèi)核態(tài)Rootkit隱藏模塊信息的特點(diǎn)，提出一種基于系統(tǒng)虛擬化技術(shù)的內(nèi)核態(tài)Rootkit檢測(cè)方法。該方法利用硬件虛擬化VT-x技術(shù)和虛擬機(jī)內(nèi)視技術(shù)，構(gòu)建目標(biāo)客戶機(jī)的虛擬機(jī)視圖，并通過(guò)截獲客戶機(jī)模塊加載移除等系統(tǒng)調(diào)用對(duì)視圖進(jìn)行及時(shí)更新，通過(guò)對(duì)比在在模塊加載前后的虛擬機(jī)視圖及在目標(biāo)客戶機(jī)中構(gòu)建的客戶機(jī)視圖，發(fā)現(xiàn)其中差異，以此找到可能隱藏的模塊，也即rootkit