Rootkit技術(shù)在第三方信息安全防護(hù)系統(tǒng)中的應(yīng)用研究.pdf

1、權(quán)威部門(mén)的調(diào)查結(jié)果表明，超過(guò)80％的安全威脅來(lái)自?xún)?nèi)部人員犯罪或通過(guò)內(nèi)部進(jìn)行的攻擊。內(nèi)部人員通常很容易獲得存儲(chǔ)信息的計(jì)算機(jī)終端的完全控制權(quán)，現(xiàn)在居于壟斷地位的Windows NT系列操作系統(tǒng)對(duì)于信息安全只提供一些最基礎(chǔ)的支持，完全不能滿(mǎn)足當(dāng)前需求，因此研究在第三方信息安全防護(hù)系統(tǒng)中如何防止內(nèi)部信息犯罪很有必要。
　　 Rootkit是近年來(lái)出現(xiàn)的一種黑客借以躲避反病毒軟件和系統(tǒng)管理實(shí)用工具查殺的技術(shù)。但是rootkit并非天生邪惡

2、，它僅僅是一種技術(shù)，美好或是邪惡完全取決于使用它們的人。換個(gè)角度，可以把rootkit理解為一種用來(lái)在目標(biāo)系統(tǒng)上隱藏自己的蹤跡和保留root最高訪問(wèn)權(quán)限，神不知鬼不覺(jué)地實(shí)現(xiàn)自己功能的技術(shù)。
　　 介紹了幾種可以在信息安全領(lǐng)域應(yīng)用的Windows內(nèi)核rootkit技術(shù)：內(nèi)核鉤子技術(shù)、分層驅(qū)動(dòng)技術(shù)、直接內(nèi)核對(duì)象操作技術(shù)，從系統(tǒng)安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全三個(gè)方面論述了這些rootkit技術(shù)在Windows第三方信息安全防護(hù)系統(tǒng)中的應(yīng)用，

3、并分析了它們相比于傳統(tǒng)方法的優(yōu)勢(shì)，給出了一個(gè)利用SSDT鉤子技術(shù)保護(hù)客戶(hù)端系統(tǒng)程序進(jìn)程和注冊(cè)表項(xiàng)、利用TDI傳輸驅(qū)動(dòng)接口程序和IRP鉤子技術(shù)構(gòu)建和保護(hù)系統(tǒng)客戶(hù)端和服務(wù)器間的網(wǎng)絡(luò)通信端口、利用DKOM技術(shù)隱藏驅(qū)動(dòng)程序、利用文件系統(tǒng)過(guò)濾驅(qū)動(dòng)技術(shù)進(jìn)行文件訪問(wèn)控制和文件透明加解密、利用NDIS網(wǎng)絡(luò)中間層驅(qū)動(dòng)技術(shù)進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制和網(wǎng)絡(luò)通信數(shù)據(jù)透明加解密的系統(tǒng)解決方案，給信息安全領(lǐng)域核心問(wèn)題：系統(tǒng)自保護(hù)、文件訪問(wèn)控制及加解密、網(wǎng)絡(luò)訪問(wèn)控制等提供了在