Kylin系统的内核级Rootkit防护.pdfVIP

第34卷 第22期 计 算 机 工 程 2008年 11月 Vo1．34 No．22 ComputerEngineering November2008 · 安全技术 · 文章编号：lo00__-3428(2008)22_’ol56__03 文献标识码：A 中圈分类号：TP309 Kylin系统的内核级Rootkit防护 陈斌斌，吴庆波，魏立蜂 (国防科学技术大学计算机学院，长沙 410073) 摘 要：内核级rootkit是破坏内核完整性的最大威胁，它主要通过可加载模块方式和文件补丁方式破坏内核完整性。该文提出一种针对内 核级rootkit威胁的防护模型，从一个可信根开始，开机引导验证完整性到系统运行时认证可加载模块，整个过程以信任链的形式传递，一 级级度量，保证整个过程的可信赖性。讨论了该模型对系统性能的影响。 关健诃：可信传递；可信度量；完整性；可加载模块 KernelLevelRootkitDefenseUnderKylin CHENBin-bin，WUQing—bo。WEILif·eng (SchoolofComputerScience，NationalUniversityofDe~nseTechnology，Changsha410073) [Abstract|Kernellevelrootkitisthemainthreatthatbreakskernelintegrity，whichbreaksintokerneloftenthroughloadingaloadablekernel moduleorpatchingfilesthatwillbeloadedintokernelmemory．Confrontedofsuchathreat，thispaperpresentsadefensemode1．From integrity validationinbootstraptoloadablekernelmoduleverificationwhensystem isrunning，thewholeprocessstartsfrom atrustedroot，transfersbya trustchain，andonestairattestsnextstairtOguaranteethewholeprocesstrustfu1．Themodel’Sperformanceexpenseisanalyzed． |Keywords]transferringoftrust；measurementoftrust；integrity；loadablemodule l 概述 一 级，这样就构成了一条从信任根开始的信任链，信任即通 操作系统安全是计算机安全的重要基础，内核是操作系 过链传递的方式保持下去不被破坏，由信任链构成的计算环 统的核心，内核的完整性保护对维护操作系统安全至关重要。 境始终是可信的。 内核完整性破坏威胁主要来自rootkit程序，它指 ：持久且无 操作系统可以划分为引导阶段和运行阶段，加载静态的 法察觉地存在于计算机之上的一组程序和代码…。它主要分 内核组件是在引导阶段，如内核；加载动态可加载模块是在 为用户级和内核级2种，用户级rootkit指入侵操作系统用户 运行阶段，如各种驱动程序。如果内核完整性防护只考虑其 层的rootkit，通常会更改操作系统的系统程序，内核级rootkit 中一个阶段，则不能从根本上保证内核的完整性。在引导阶 是入侵操作系统内核层的 rootkit，通常会在内核空间更改和 段，要保证加载到内存的内核组件的完整性，在运行阶段， 插入执行代码。内核级rootkit是破坏内核完整性的最大威胁， 要保证加载到系统的可加载模块的合法性和完整性。2个阶 它主要通过以下3种方式破坏内核的完整性 j：