資源描述:
《e4文件系統(tǒng)過濾驅(qū)動的內(nèi)核rootkit隱藏技術(shù)》由會員上傳分享��,免費在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫��。
1����、萬方數(shù)據(jù)第31卷第3期2010年5月吉首大學(xué)學(xué)報(自然科學(xué)版)JournalofJishouUniversity(NaturalScienceEdition)V01.31No.3May2010文章編號:1007~2985(2010)03—0043—04基于文件系統(tǒng)過濾驅(qū)動的內(nèi)核Rootkit隱藏技術(shù)’侯春明,劉林(吉首大學(xué)物理科學(xué)與信息工程學(xué)院����,湖南吉首416000)摘要:Rootkit是能夠持久或可靠地、無法檢測的存在于計算機上的一組程序和代碼.研究了基于文件系統(tǒng)過濾驅(qū)動技術(shù)的內(nèi)核Rootkit�,闡述了
2、文件系統(tǒng)過濾驅(qū)動的工作原理�、過濾驅(qū)動的實現(xiàn)、基于文件系統(tǒng)過濾驅(qū)動的內(nèi)核Rootkit對文件隱藏的實現(xiàn)��,并討論了針對Rootkit隱藏的檢測技術(shù).關(guān)鍵詞:文件系統(tǒng)��;Rootkit���;過濾驅(qū)動����;隱藏’中圖分類號:TP316文獻標(biāo)志碼:A隨著信息技術(shù)的飛速發(fā)展,以竊取計算機控制權(quán)和敏感信息為目標(biāo)的程序迅速增加.Rootkit是能夠持久或可靠地����、無法檢測的存在于計算機上的一組程序和代碼[1].Rootkit能在目標(biāo)計算機中長期潛伏,竊取信息而不被察覺�����,因此在計算機戰(zhàn)爭�����、間諜�����、反計算機犯罪���、證據(jù)收集等領(lǐng)域得到廣泛應(yīng)用
3、�,同時也被計算機病毒、木馬���、惡意軟件等惡意代碼使用者用來實現(xiàn)計算機的惡意控制.控制者一旦獲得操作系統(tǒng)的控制權(quán)限����,種植了Rootkit,它就能維護一個后門�,允許控制者一直以管理員權(quán)限控制系統(tǒng),并且通過隱藏文件���、進程���、注冊表項、端口等來隱藏攻擊行為����,從而逃避用戶和安全軟件的檢測[2].隱蔽性是Rootkit的最大特性,而文件系統(tǒng)是Rootkit應(yīng)用的重要領(lǐng)域.許多Rootkit需要在文件系統(tǒng)中存儲文件���,并且要求這些文件實現(xiàn)隱藏.Rootkit的文件隱藏技術(shù)有2種:利用鉤子技術(shù)實現(xiàn)文件隱藏��,這種方法效率低�����;利用
4���、文件系統(tǒng)過濾驅(qū)動技術(shù)�����,效率高����,可靠性強.利用文件系統(tǒng)過濾驅(qū)動技術(shù)來實現(xiàn)Ro—otkit的文件隱藏�����,成為當(dāng)前Windows操作系統(tǒng)內(nèi)核信息安全領(lǐng)域的熱點.1文件系統(tǒng)過濾驅(qū)動工作原理1.1Windows文件系統(tǒng)驅(qū)動文件系統(tǒng)驅(qū)動程序是存儲管理子系統(tǒng)的一個組件����,為用戶提供在持久性介質(zhì)上存儲和讀取信息的功能,可以創(chuàng)建����、修改和刪除文件����,同時可以安全可控地在用戶之間共享和傳輸信息,并以適當(dāng)?shù)姆绞较驊?yīng)用程序提供結(jié)構(gòu)化的文件內(nèi)容口].用戶應(yīng)用程序?qū)Υ疟P上的文件進行的各種操作�,如創(chuàng)建、打開�、關(guān)閉、讀數(shù)據(jù)、寫操作等��,最終都要借
5�、助文件系統(tǒng)驅(qū)動才能完成.各種操作調(diào)用Kernel32.dll,通過Win32子系統(tǒng)調(diào)用NativeAPI向內(nèi)核層傳送請求��,然后通過系統(tǒng)服務(wù)函數(shù)將上層的請求傳遞給I/0管理器���,在I/0管理器中���,將對磁盤文件的各種操作請求都統(tǒng)一為輸入輸出請求包IRP,然后向下層傳送IRP給文件系統(tǒng)驅(qū)動�,最終由文件系統(tǒng)驅(qū)動調(diào)用磁盤及其他存儲設(shè)備驅(qū)動,進而完成對物理存儲設(shè)備的各種操作.操作完成后�����,再將處理結(jié)果沿著相反路徑返回�����,整體執(zhí)行過程如圖1所示.*收稿日期:2010一04—25.基金項目:吉首大學(xué)校級科研課題(09JD015
6��、)作者簡介:侯春明(1979一)�,男�����,湖南桑植人��,吉首大學(xué)物理科學(xué)與信息工程學(xué)院講師�,碩士����,主要從事計算機應(yīng)用與信息安全研究.萬方數(shù)據(jù)吉首大學(xué)學(xué)報(自然科學(xué)版)第31卷1.2Windows文件系統(tǒng)過濾驅(qū)動WindowsNT操作系統(tǒng)的內(nèi)核驅(qū)動模型WDM(WindowsDriverModel)采用了分層結(jié)構(gòu)的驅(qū)動程序結(jié)構(gòu)n].I/O管理器實現(xiàn)1個分層的數(shù)據(jù)結(jié)構(gòu),在DEVICE_OBJECT對象中保存某種關(guān)系�,自動將請求IRP發(fā)給設(shè)備棧中的最高的1個設(shè)備,由其決定如何處理�����,或是自身處理�,或是向下傳遞,從而實現(xiàn)分
7�����、層.在WDM模型中��,過濾驅(qū)動程序可以在應(yīng)用程序讀寫數(shù)據(jù)的過程中��,先于操作系統(tǒng)本身的文件系統(tǒng)驅(qū)動截獲數(shù)據(jù)處理相關(guān)的IRP���,進而進行各種相應(yīng)的操作�����,比如隱藏文件��、修改數(shù)據(jù)等.從圖1可以看出�,文件系統(tǒng)過濾驅(qū)動位于I/O管理器和文件系統(tǒng)驅(qū)動程序之間.2基于文件系統(tǒng)過濾驅(qū)動的Rootkit隱藏技術(shù)2.1文件系統(tǒng)過濾驅(qū)動的實現(xiàn)圖1文件系統(tǒng)過濾驅(qū)動原理基于文件系統(tǒng)過濾驅(qū)動的Rootkit本質(zhì)上就是驅(qū)動程序�,在將自身載入內(nèi)核的同時,完成特定的功能.在Windows操作系統(tǒng)中���,對于應(yīng)用最廣泛的FAT32和NTFS文件系統(tǒng)�����,
8�、主要生成2類設(shè)備��,一類是文件系統(tǒng)驅(qū)動本身生成的控制設(shè)備CDO��,另外一類是該文件系統(tǒng)的卷設(shè)備.驅(qū)動程序和應(yīng)用層程序類似��,有1個主函數(shù)DriverEntry,是Windows驅(qū)動程序的入口函數(shù).DriverEntry函數(shù)由內(nèi)核中I/O管理器負(fù)責(zé)調(diào)用.DriverEntry的第1個參數(shù)是1個指針��,指向1個剛被初始化的驅(qū)動程序?qū)ο?,該對象就代表對?yīng)的驅(qū)動程序,WDM驅(qū)動程序的DriverEntry例程應(yīng)完成對這個對象的初始化并返回�,其
