資源描述:
《基于nt內(nèi)核操作系統(tǒng)的rootkit的實(shí)現(xiàn)》由會員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1、萬方數(shù)據(jù)ISSN1009-3044ComputerKnowledgeAndTechnology電脯知識與技術(shù)V01.4,No.8。December2008。PP.2550—2552E-mail:xsjl@ccee.net.cnhttp://www.dnzs.net.enTel:+86—551—56909635690964基于NT內(nèi)核操作系統(tǒng)的RootKit的實(shí)現(xiàn)趙曉娟(湖南城建職業(yè)技術(shù)學(xué)院,湖南湘潭411101)摘要:介紹了WindowsNT平臺下R.ootKit實(shí)現(xiàn)的基本原理及步驟,探討了在Window
2、s平臺下進(jìn)行Rin90級編程的實(shí)現(xiàn)及如何修改安全參考監(jiān)視器來徹底突破NT的安全防御系統(tǒng),并給出了整個RootKit的部分核心匯編源代碼。關(guān)鍵詞:R.ootIat;WindowsNT:Ring0:安全參考監(jiān)視器中圖分類號:們P3∞文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(20鵬)35—2550--03NTOperatingSystemKernelBasedontheReMizafionoftheRootKitZHAOXiao-juan(HuNanUrbanConstructionCollege,Xiang
3、tan41110)Abstract:IntroducedtheWindowsNTphtformRootKittoachievethebasicpfinciplesandsteps0ntheWindowsplatformunderRingO_—levelprogrammingtoachievesecurityandhowtomoaifrthereferencetothoroughlymomtorthesafetyofNTbreakthroughde·-femesystem,and百vesthewholeR.
4、ootKitThecorepartofthecompilationofsourcecode.Keywords:rootldt;windowsNT;ring0;securityreferencemonitor1引言Rootkit最初指被修改和重新編譯后用來隱藏入侵者活動痕跡的一組Unix工具(典型的工具有ps、netstate和passwd)?,F(xiàn)在,Rootkit是入侵者或非法的黑客為了隱藏它存在的痕跡和使用其系統(tǒng)而執(zhí)行未經(jīng)許可的功能,用來破壞計(jì)算機(jī)獲取目錄使用權(quán)的一套軟件工具。Rootkit的存在可追溯到
5、上個世紀(jì)90年代初,那時Solaris和Linux操作系統(tǒng)是Rootkit主要的攻擊對象。而現(xiàn)在Rootkit不再局限于像Unix這樣的系統(tǒng),其他的操作系統(tǒng),如MicrosoftWindows也已成為入侵者的目標(biāo)。RootKit的目的是保留持續(xù)的系統(tǒng)訪問權(quán)和在計(jì)算機(jī)中隱藏自己。它可以通過兩種不同層次來實(shí)現(xiàn),一種是修改或者替換和包裝系統(tǒng)中用戶包括管理員運(yùn)行的可執(zhí)行文件和庫文件,在操作系統(tǒng)的用戶態(tài)下執(zhí)行。這種方式的被稱為“用戶模式”另一種是控制和修改操作系統(tǒng)內(nèi)核,運(yùn)行在操作系統(tǒng)的內(nèi)核態(tài),這種方式是“內(nèi)核模式”
6、。fl】Windows下應(yīng)用程序有自己的地址空間,只能調(diào)用自己地址空間中的甬?dāng)?shù),所以,在掛鉤API函數(shù)之前,必須將一個可以替代API執(zhí)行的函數(shù)的執(zhí)行代碼注入到目標(biāo)進(jìn)程。然后再想辦法將目標(biāo)進(jìn)程對該API的調(diào)用改為對注入到目標(biāo)進(jìn)程中自定義函數(shù)的調(diào)用?;?NT的安全保護(hù)措施2.1基于網(wǎng)絡(luò)的安全與WindowsNT信任域NT內(nèi)核中有一個執(zhí)行組件叫做安全參考監(jiān)視器(SRM)。在DoD的紅皮書中也已定義了一個“安全參考監(jiān)視器”。在紅皮書中。一個安全域被一個單一的實(shí)體所管理?!耙粋€單一的信任系統(tǒng)猶如一個單一的實(shí)體一樣,
7、通過一個單一的信任證據(jù)所接受。一個單一信任系統(tǒng)網(wǎng)絡(luò)執(zhí)行相關(guān)的參考監(jiān)視器來加強(qiáng)對對象訪問時所應(yīng)遵循的清晰的和良好定義的網(wǎng)絡(luò)安全政策?!滓陨厦枋鲈贜T中就是主域控制器(PDC),記住每一個系統(tǒng)都有本地安全和域安全。PDC的安全參考監(jiān)視器負(fù)責(zé)管理域內(nèi)的所有對象,與此同時.它創(chuàng)建了一個單一的控制點(diǎn),和一個單一信任系統(tǒng)網(wǎng)絡(luò)。2.2如何侵犯系統(tǒng)的完整性DoD紅皮書定義了“信任處理基礎(chǔ)”O(jiān)'CB)。在WindowsNT中使用安全特權(quán)SE_TCB—PRlVILEGE指令和“擔(dān)當(dāng)操作系統(tǒng)一部分”的用戶權(quán)利非常相似??梢酝ㄟ^
8、使用管理員權(quán)限來將這個安全特權(quán)添加給某一個用戶。如果有權(quán)擔(dān)當(dāng)TCB的一部分,幾乎可以做任何事情?,F(xiàn)在在進(jìn)程和剩下系統(tǒng)之間幾乎沒有安全措施。如果TCB不再被信任了,那么整個網(wǎng)絡(luò)系統(tǒng)的完整性也已受到攻擊。將要展示的就是這樣的一個例子.如果它被安裝在一個上作站上,就會侵犯一個網(wǎng)絡(luò)分區(qū)。如果它被安裝在主域控制器上,將會侵犯整個網(wǎng)絡(luò)的完整性。在一個相同的主機(jī)里,可能擁有兩個唯一的區(qū)域:TCB在傳統(tǒng)的紅皮書里被評價(jià)為受信任處理基礎(chǔ)和NTC