資源描述:
《淺談內(nèi)核態(tài)rootkit隱藏性研究與改進(jìn)》由會員上傳分享�,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫����。
1�����、華中科技大學(xué)碩士學(xué)位論文內(nèi)核態(tài)Rootkit隱藏性研究與改進(jìn)姓名:周桉申請學(xué)位級別:碩士專業(yè):計算機(jī)系統(tǒng)結(jié)構(gòu)指導(dǎo)教師:余勝生20070129摘要隨著信息安全的重要性日益提高,網(wǎng)絡(luò)攻防技術(shù)得到迅速的發(fā)展,遠(yuǎn)程控制技術(shù)的研究也成為網(wǎng)絡(luò)攻防研究中的熱點之一���。Rootkit作為一種長期隱蔽控制計算機(jī)系統(tǒng)的有效工具,其相關(guān)技術(shù)研究是遠(yuǎn)程控制技術(shù)研究的重要組成部分�。在WINDOWS系統(tǒng)中,內(nèi)核態(tài)Rootkit相對于用戶態(tài)的Rootkit在隱蔽性方面更加完善,功能也更加強(qiáng)大?����;趦?nèi)核態(tài)的Rootkit將成為WINDOWS系統(tǒng)
2、遠(yuǎn)程控制技術(shù)研究的主要方向����。目前內(nèi)核態(tài)Rootkit在內(nèi)存隱藏性方面主要采用內(nèi)核API掛接�、直接內(nèi)核對象操作等方式,在隱蔽通道方面采用注入信任進(jìn)程的方式建立通道�。改進(jìn)的內(nèi)核態(tài)Rootkit針對這些方式的優(yōu)缺點����,在三個方面給出適當(dāng)?shù)母倪M(jìn)方案��。在自啟動隱藏方面�,利用逆向分析得出一種有效躲避系統(tǒng)檢測軟件的加載形式���;在內(nèi)存隱藏方面,現(xiàn)存的內(nèi)核態(tài)Rootkit雖能改變系統(tǒng)調(diào)用執(zhí)行路徑���,但破壞操作系統(tǒng)的內(nèi)存子系統(tǒng)。改進(jìn)后的Rootkit利用X86的內(nèi)存分頁機(jī)制和破壞TLB同步的方式�,分離內(nèi)存訪問請求��,從而實現(xiàn)在內(nèi)存中Roo
3、tkit代碼頁面的隱藏���;在數(shù)據(jù)遠(yuǎn)程通訊方面��,現(xiàn)有的Rootkit中多采用端口復(fù)用和反向連接技術(shù)來欺騙防火墻信任連接����,改進(jìn)的Rootkit則結(jié)合WINDOWS系統(tǒng)網(wǎng)絡(luò)體系結(jié)構(gòu)中底層網(wǎng)絡(luò)驅(qū)動接口的結(jié)構(gòu),提出了一種基于底層網(wǎng)絡(luò)驅(qū)動接口內(nèi)核函數(shù)掛接的隱蔽的底層網(wǎng)絡(luò)通訊機(jī)制.這種通訊方式無需開啟端口進(jìn)行監(jiān)聽和建立連接��,能夠有效的穿透過濾型網(wǎng)絡(luò)防火墻����,并能繞過本機(jī)防火墻進(jìn)行遠(yuǎn)程通訊。通過Rootkit檢測工具對改進(jìn)設(shè)計測試效果分析����,改進(jìn)的內(nèi)核態(tài)Rootkit在隱藏性方面有一定增強(qiáng)��,能躲避針對內(nèi)存特征值的掃描�,能有效的穿透過
4����、濾型網(wǎng)絡(luò)防火墻?����?偨Y(jié)而言,Rootkit系統(tǒng)的隱藏性是內(nèi)核態(tài)Rootkit系統(tǒng)設(shè)計和實現(xiàn)的最重要問題����,是決定整個系統(tǒng)性能優(yōu)劣的關(guān)鍵�����。關(guān)鍵詞:內(nèi)核后門,隱藏�,內(nèi)存分頁機(jī)制�����,掛接網(wǎng)絡(luò)驅(qū)動接口IAbstractRespondingtotherapidincreaseofinformationsecurity,thenetworkattackandsecuritytechniquesprogressandperfectcontinuously.Andtheresearchofremotecontroltechnique
5�、shasbecomeahotfocus.Rootkitisakindoftoolusedtocontroltarget’scomputersystempermanentlyandsecretlyaftersuccessfullybreakingintothetarget.ThetechniqueofRootkitplaysanimportantroleinremotecontrolresearch.ThekernelRootkitismuchmorepowerfulthantheuserlandRootkit,
6、soRootkitbasedonthekernelisthefutureoftheremotecontroltechniqueinWINDOWSsystem.IntheexistingkernelRootkits,kernelAPIhookinganddirectkernelobjectmanipulationareusedtohidetheRootkitinthesystemmemory,andthecodeinjectintotrustedprocessisusedtobypassthefirewallst
7�����、ealthily.TherearethreedefiniteimprovementsonouradvancedkernelRootkit,comparedtotheexistingkernelRootkits.Inthelaunchhidingarea,anewloadingpatternswhichcanevadethedetectionsystemeffectivelyhasbeenchosenthroughthereverseanalysisaboutthesystemkernel.Inthememory
8�、hiding,currentRootkitsubvertessentiallytheoperatingsystem'smemorymanagementsubsystemalthoughtheycaneasycontroltheexecutionpathofsystemcall,ouradvancedkernelRootkitisabletofilterthememoryaccessby
