資源描述:
《淺論基于windows(20002003)內(nèi)核對(duì)象的rootkit檢測(cè)》由會(huì)員上傳分享,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫(kù)����。
1、上海交通大學(xué)碩士學(xué)位論文基于windows(2000/2003)內(nèi)核對(duì)象的rootkit檢測(cè)姓名:薛英飛申請(qǐng)學(xué)位級(jí)別:碩士專業(yè):計(jì)算機(jī)應(yīng)用技術(shù)指導(dǎo)教師:李小勇20080101基于windows(2000/2003)內(nèi)核對(duì)象的rootkit檢測(cè)摘要隨著rootkit技術(shù)的發(fā)展�����,病毒程序設(shè)計(jì)者趨于利用rootkit技術(shù)來隱藏他們的非法行為,從而達(dá)到自己的目的��。雖然目前存在各種各樣的檢測(cè)windowsrootkit的工具���,但這些工具只能檢測(cè)某些特定的rootkit���,無法檢測(cè)到一些新型的windowsrootkit病毒。本文提出了一個(gè)新的��、基于windo
2��、ws內(nèi)核對(duì)象的rootkit檢測(cè)技術(shù)方法�����,該方法能夠檢測(cè)到目前windows環(huán)境下的大多數(shù)rootkit病毒��。該方法的基本原理就是通過掃描����、檢測(cè)windows操作系統(tǒng)內(nèi)核中的關(guān)鍵的內(nèi)核對(duì)象,如:中斷描述符表(IDT)�、系統(tǒng)服務(wù)描述符表(SSDT)、重要PE(PortableExecutive)文件��、有關(guān)記錄進(jìn)程信息的數(shù)據(jù)結(jié)構(gòu)等等,并對(duì)這些內(nèi)核對(duì)象進(jìn)行更深入�、更全面的保護(hù)?����;诒疚奶岢龅膚indowsrootkit檢測(cè)的研究成果���,作者設(shè)計(jì)了一個(gè)新型windowsrootkit檢測(cè)工具����,該工具是目前最全面的windowsrootkit檢測(cè)工具����。它可以
3���、檢測(cè)IDT/SYSENTERhook��、SSDThook���、Inlinehook、IAT/EAThook����、驅(qū)動(dòng)函數(shù)hook�����,以及檢測(cè)隱藏端口信息����、隱藏文件信息和隱藏進(jìn)程信息�。論文的主要工作如下:1、對(duì)windowsrootkit技術(shù)的歷史背景���、定義����、分類進(jìn)行了綜述�����,并詳細(xì)分析了windowsrootkit的各種實(shí)現(xiàn)技術(shù)�,包括:中斷描述符表、內(nèi)核修補(bǔ)技術(shù)�、PE文件分析。2、研究了現(xiàn)有的各種windowsrootkit檢測(cè)方法���。利用這些檢測(cè)方法對(duì)幾種著名的windowsrootkit以及目前的rootkit技術(shù)進(jìn)行檢測(cè)�����,然后對(duì)檢測(cè)情況作了簡(jiǎn)要的評(píng)述�����,指出
4�、了現(xiàn)有檢測(cè)方法的缺陷以及需要改進(jìn)之處���。3�、提出了一種基于windows內(nèi)核對(duì)象的rootkit檢測(cè)方案�,以全面、有效地檢測(cè)各種現(xiàn)有的windowsrootkit���。windows內(nèi)核對(duì)象包括:windows系統(tǒng)內(nèi)核架構(gòu)對(duì)象、windows系統(tǒng)內(nèi)核PE文件對(duì)象�����、基于windows系統(tǒng)內(nèi)核功能對(duì)象����。a)基于windows系統(tǒng)內(nèi)核架構(gòu)對(duì)象的rootkit檢測(cè)就是對(duì)內(nèi)核架構(gòu)各層的檢測(cè)使用綜合的檢測(cè)方法����。例如不將inlinehook的檢測(cè)方法僅僅局限于SSDT表里的函數(shù)��,而是擴(kuò)展到凡是有內(nèi)核函數(shù)地址調(diào)用的IV情況�����,都需要進(jìn)行inlinehook檢測(cè)�����。b)基于
5�����、windows系統(tǒng)內(nèi)核PE文件對(duì)象的rootkit檢測(cè)方法是檢測(cè)hook點(diǎn)的內(nèi)容是否與PE文件相應(yīng)的地址處的內(nèi)容相匹配�。c)基于windows系統(tǒng)內(nèi)核功能對(duì)象的rootkit檢測(cè)方法就是依靠系統(tǒng)中大多數(shù)相關(guān)內(nèi)核功能對(duì)象來檢測(cè)相關(guān)rootkit。4����、基于本文提出的檢測(cè)方案,作者實(shí)現(xiàn)了一個(gè)windowsrootkit的檢測(cè)工具rootkitchecker.exe,該工具可以全面的����、準(zhǔn)確的檢測(cè)目前所有流行的windowsrootkit。本文的研究工作對(duì)windowsrootkit的檢測(cè)方法提供了比較完整的分析和總結(jié)����,所提出的基于內(nèi)核對(duì)象檢測(cè)方法,彌補(bǔ)了
6�、現(xiàn)有檢測(cè)方法的不足,可以有效的檢測(cè)出各種windowsrootkit.關(guān)鍵字:windowsrootkit;內(nèi)核對(duì)象��;系統(tǒng)服務(wù)描述符表����;進(jìn)程;端口����;文件VWindowsRootkitDetectionbasedonWindows(2000/2003)KernelObjectsABSTRACTAlongwiththedevelopmentofrootkittechnique,theprogramdesignersofvirustendtousetherootkittechniquetohidetheirbehaviorsoastoobtainthe
7、iraim.Todaytherearevarioustoolsthatusedtodetectrootkitinthewindowsystem,butthesetoolsonlycandetectsomespecialrootkitsandexistssomeflaws,inordernottodetectsomenewwindowsrootkitvirus.Inthisarticleamethodhasbeenproposed,whichcandetectamassofwindowsrootkitsbasedonwindowskernelobj
8�����、ect.Theprincipleofthisnewmethodisimplementingin-depthandall-sidedpro
