Win32平臺下內(nèi)核Rootkit檢測技術的研究與應用.pdf

1、隨著計算機網(wǎng)絡的飛速發(fā)展，網(wǎng)絡滲透，敏感信息盜取等攻擊行為每天都發(fā)生在我們的身邊。信息安全的矛與盾，攻擊與防御技術總是互相促進的。Rootkit技術是攻擊者用來保持對系統(tǒng)的持續(xù)控制權并且隱蔽攻擊行為與后門程序痕跡的一種技術。Rootkit軟件最早被應用于UNIX系統(tǒng)中，隨后逐漸發(fā)展到其它的操作系統(tǒng)平臺，其中，針對Win32平臺下的Rootkit技術得到了廣泛的關注和研究。Rootkit技術是一種黑客攻擊技術，而為了能夠更好的防御Root

2、kit技術的攻擊，首先就必須對Rootkit技術有一定研究。根據(jù)對操作系統(tǒng)入侵的層次，可以分為應用級Rootkit和內(nèi)核級Rootkit。比較而言，應用級Rootkit僅僅工作在操作系統(tǒng)的應用層，而內(nèi)核級Rootkit直接攻擊操作系統(tǒng)的內(nèi)核，因此危害更大，功能更強大，更難以檢測。 本文闡述了Win32系列操作系統(tǒng)的基本架構以及與Rootkit技術相關的內(nèi)核原理，在此基礎上，提出了幾種內(nèi)核Rootkit攻擊技術，包括掛鉤SSDT表

3、、過濾驅動技術、內(nèi)核對象修改，對每種技術的原理進行詳細闡述并且給出了實現(xiàn)過程。同時針對這些重要的Rootkit實現(xiàn)技術，研究了現(xiàn)存的各種Windows Rootkit檢測方法，對這些方法進行了詳細的闡述并給出了實現(xiàn)。利用這些實現(xiàn)技術，分析并檢測了目前著名的Windows Rootkit。對檢測情況做了評述，指出了現(xiàn)在檢測方法的缺陷以及需要改進的地方。針對最新Rootkit發(fā)展的趨勢，研究和分析了Bootkit的實現(xiàn)機制和系統(tǒng)原理，并在此