LINUX內(nèi)核ROOTKIT的分析及實現(xiàn).pdf

1、隨著信息技術(shù)的迅猛發(fā)展，互聯(lián)網(wǎng)和信息共享成為信息社會的主要趨勢，越來越多的信息系統(tǒng)依賴于當(dāng)前的互聯(lián)網(wǎng)，信息安全成為一個不可回避的話題逐漸擺在我們的面前。遠程控制技術(shù)的研究成為網(wǎng)絡(luò)安全研究中的熱點之一，內(nèi)核Rootkit（即用來保存和隱藏root權(quán)限）做為一種長期隱蔽控制計算機系統(tǒng)的有效工具，其相關(guān)技術(shù)是遠程控制技術(shù)研究的重要組成部分。本文基于Linux系統(tǒng)環(huán)境下遠程攻擊控制平臺，首先著重分析了Linux內(nèi)核體系結(jié)構(gòu)、系統(tǒng)啟動過程、進程的

2、管理調(diào)度和動態(tài)可加載模塊，在此基礎(chǔ)上，總結(jié)了基于系統(tǒng)調(diào)用替換實現(xiàn)內(nèi)核Rootkit的方法，并做了逃避檢測的改進；歸納了基于內(nèi)核異常修復(fù)指針替換方法實現(xiàn)內(nèi)核Rootkit的技術(shù)；提出并完成了基于Linux虛擬文件系統(tǒng)處理指針替換實現(xiàn)內(nèi)核Rootkit的技術(shù)。虛擬文件系統(tǒng)處理指針的替換位于Linux系統(tǒng)的較低層次，很難被發(fā)現(xiàn)，并通過多種方式實現(xiàn)了文件隱藏、進程隱藏、網(wǎng)絡(luò)連接隱藏、日志過濾、權(quán)限提升等功能模塊。本文中的實現(xiàn)部分著重于隱蔽性和可