ROOTKIT檢測(cè)技術(shù)和系統(tǒng)修復(fù)技術(shù)的研究.pdf

1、隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，我們的生活，學(xué)習(xí)，工作和娛樂與網(wǎng)絡(luò)聯(lián)系得越來越緊密。我們充分享受網(wǎng)絡(luò)帶給我們的方便的同時(shí)，各種各樣的病毒，木馬等惡意軟件也在網(wǎng)絡(luò)上大肆流行。這些惡意軟件破壞我們的電子數(shù)據(jù)，盜取我們的個(gè)人信息，控制我們的個(gè)人電腦，最終導(dǎo)致我們個(gè)人財(cái)產(chǎn)的損失。我們需要詳細(xì)研究各種惡意軟件技術(shù)，來保護(hù)我們的個(gè)人財(cái)產(chǎn)和信息。文章對(duì)嚴(yán)重威脅網(wǎng)絡(luò)與信息安全的技術(shù)——內(nèi)核級(jí)Rootkit進(jìn)行了詳細(xì)的研究。
　　 Rootkit是攻擊者

2、在入侵系統(tǒng)后用來躲避各種安全軟件的監(jiān)控，長(zhǎng)期隱藏在系統(tǒng)中監(jiān)控用戶行為，竊取用戶信息的技術(shù)。Rootkit區(qū)別于其他惡意軟件最大的特點(diǎn)是隱藏，是長(zhǎng)期無法被檢測(cè)的隱藏于系統(tǒng)中。Rootkit不但可以隱藏自己，還可以隱藏其他惡意軟件。
　　 目前Rootkit技術(shù)最新的發(fā)展方向是與病毒，木馬等惡意軟件結(jié)合。Rootkit隱藏這些惡意軟件的行為來躲避各種安全軟件的監(jiān)控，這些惡意軟件負(fù)責(zé)發(fā)動(dòng)攻擊，竊取用戶信息等等。Rootkit和其他的惡

3、意軟件的結(jié)合，導(dǎo)致了以前可以被殺毒軟件通過特征碼掃描輕易發(fā)現(xiàn)的病毒，木馬等惡意軟件，現(xiàn)在卻無法被發(fā)現(xiàn)。因?yàn)镽ootkit已經(jīng)隱藏了惡意軟件的文件，進(jìn)程，注冊(cè)表等等信息，殺毒軟件連惡意軟件的文件的找不到，就無法掃描了，更不可能清除它們。
　　 本文對(duì)Rootkit檢測(cè)技術(shù)和系統(tǒng)修復(fù)技術(shù)進(jìn)行了詳細(xì)的研究，主要的工作包括如下：
　　 首先，概述了Rootkit的研究背景，研究?jī)?nèi)容，研究現(xiàn)狀，論文的組織結(jié)構(gòu)，Rootkit的定義

4、，分類，與其他的惡意軟件的區(qū)別和它的危害。
　　 其次，詳細(xì)研究了Rootkit使用的各種技術(shù)。針對(duì)Rootkit使用的技術(shù)，詳細(xì)研究了Rootkit的檢測(cè)技術(shù)和系統(tǒng)修復(fù)技術(shù)。
　　 再次，詳細(xì)分析當(dāng)前使用得比較多的Rootkit檢測(cè)工具“IceSword和RootkitUnhooker”的檢測(cè)技術(shù)。IceSword檢測(cè)進(jìn)程采用ExEnumHandleTable函數(shù)獲得進(jìn)程列表，Rootkit通過掛鉤ExEnumHand

5、leTable函數(shù)，繞過IceSword的進(jìn)程檢測(cè)。針對(duì)該問題本文提出了不使用ExEnumHandleTable函數(shù)獲取進(jìn)程列表的方法。Rootkit Unhooker檢測(cè)內(nèi)聯(lián)鉤子存在誤檢的問題，如果盲目使用修復(fù)功能，將導(dǎo)致系統(tǒng)崩潰。本文提出使用調(diào)試器實(shí)際觀察匯編代碼來解決這個(gè)問題。
　　 然后，本文在系統(tǒng)分析中斷描述符表的基礎(chǔ)上，提出通過備份真實(shí)中斷描述符表的方法檢測(cè)和修復(fù)中斷描述符表。該方法可以阻止Rootkit掛鉤中斷描述

6、符表，獲得系統(tǒng)內(nèi)核的控制權(quán)。
　　 接著，提出修復(fù)驅(qū)動(dòng)程序的I/O請(qǐng)求報(bào)文處理程序鉤子的方法。本文首先通過反匯編fat32文件系統(tǒng)的驅(qū)動(dòng)程序fastfat.sys獲得特征碼，然后利用特征碼在硬盤上的fastfat.sys文件中查找I/O請(qǐng)求報(bào)文處理程序的地址，最后通過這個(gè)地址計(jì)算出I/O請(qǐng)求報(bào)文處理程序在內(nèi)存中的真實(shí)地址。該方法可以阻止Rootkit隱藏文件，目錄，通訊端口和通訊流量等等。
　　 最后，提出Rootkit