Linux下幾種內(nèi)核級(jí)rootkits技術(shù)研究.pdf

1、隨著互聯(lián)網(wǎng)行業(yè)和嵌入式行業(yè)的迅猛發(fā)展，Linux的安全問題也顯得日益重要。Linux系統(tǒng)上的rootkits技術(shù)的研究也顯得日趨緊迫，因?yàn)樗扔脩艏?jí)tootkits殺傷力更強(qiáng)，隱蔽性更高，技術(shù)難度也更大。 本論文介紹了rootkits的基本概念、目標(biāo)及發(fā)展，同時(shí)介紹了rootkits設(shè)計(jì)技術(shù)所涉及到的Linux內(nèi)核機(jī)制的原理，數(shù)據(jù)結(jié)構(gòu)，和實(shí)現(xiàn)方式。這些內(nèi)核機(jī)制包括：LKM，ELF文件格式，中斷處理和ext2/3文件系統(tǒng)。

2、 本文詳細(xì)討論了rootkits所使用的各項(xiàng)技術(shù)的原理及實(shí)現(xiàn)細(xì)節(jié)。文中介紹了最經(jīng)典的LKM劫持系統(tǒng)調(diào)用技術(shù)，分析其缺陷，并根據(jù)此缺陷提出了內(nèi)核運(yùn)行時(shí)補(bǔ)丁方式。內(nèi)核模塊作為rootkits的重要依賴，模塊的隱藏非常重要，文中詳細(xì)分析了幾種模塊隱藏技術(shù)，并提出在2.6版內(nèi)核下的改進(jìn)方法。物理感染是rootkits常用的方法，本文也詳細(xì)分析了LKM注射技術(shù)及其實(shí)現(xiàn)，以及在內(nèi)核版本變更為2.6后的改進(jìn)辦法。在內(nèi)核LKM被禁止的情況下，rootk