WindowsRootKit技术原理及防御策略.pdfVIP

MicrocomputerApplicationsVol.22,No.7,2006 研究与设计 徽熨电胎应用 200‘年第22卷第7期 文t绷号:1007一757X(2006)07一0004一03 WindowsRootKit技术原理及防御策略 雷校勇，黄小平， 摘 要:RootKit是特洛伊木马后门工具，通过修改操作系统软件，使攻击者获得持续的系统访问权并隐藏在计算机中。本 丈将详细讨论Windows下的RootKit技术原理和检浏技术，同时为了保卫系统和网络安全，提出了一套完整的针对RootKit的安 全防御策略。 关抽词:WindowsRootKit;特洛伊木马后门;防御策略 中圈分类号:TP393 文做标识码:A 1 引盲 RootKit破坏了所有程序的执行逻辑，内核模式RootKit比用 户模式RootKit更具隐蔽性，更难被检测。RootKit隐藏的内 近年来随着网络应用的深人发展，网络安全似乎也正面 容包括文件、目录、进程、注册表项、网络端口、设备驱动器，网 临极大的挑战，特别是近一两年网络上猖撅的特洛伊木马和 卡模式等所有使用户判断系统异常的行为和表现。 后门，让人望而色变，其中最为险恶的要算RootKit，它集特洛 攻击者安装WindowsRootKit的主要 目的有两个，但主 伊木马和后门于一身，通过修改操作系统软件，使攻击者获得 要技术是实现隐藏的技术，即所有能实现隐藏的技术都可认 持续的系统访问权，并将 自己隐藏在系统中不易发现用户。 为是RootKit技术。根据WindowsRootKit实现隐藏的方法的 RootKit最初为T攻击UNIX系统而开发的，自从1999年 不同可以分为两类，一类是通过修改应用程序调用系统函数 GregHoglund开发T第一个针对Windows的RootKit(即NT 的执行路径，劫持正常程序及系统函数调用的执行路线，篡改 Rootkit)以来，WindowsRootKit受到了人们的广泛关注并等 函数调用函数的返回值以达到向用户隐藏攻击信息的目的; 到了很大的发展。由于Windows操作系统应用的广泛性，对 一类是通过修改系统内核数据结构(即Windows内核中的内 WindowsRootKit技术的研究显得更有意义。 核对象)，当用户程序向内核查询信息(如当前运行进程、驱动 RootKit技术也具有其两面性，它一方面造成极大破坏的 程序)的时候，内核系统函数查找了被RootKit篡改的内核对 同时，另一方面RootKit技术也是系统软件开发特别是系统安 象，错误地返回了隐藏攻击信息的结果。 全软件的关键技术之一，例如现在大多数反病毒软件、防火 2.1修改执行路径 墙、主机人侵防御软件等都会用到RootKit技术。本文将详细 系统函数调用是操作系统向用户提供硬件设备服务和请 分析Windows下RootKit技术原理和检测技术及其防御策 求内核服务的接口。Windows下用户程序大多为Win32应用 略。 程序，在用户态执行时为了与Windows系统交互，要执行各种 对Win32子系统DLL文件的API函数调用。Microsoft提供了 2 WindowsRootKit技术原理分析 大量API函数，它们被组织到不同DLL文件中，包括User32. dll,kernel32.dll等。当用户程序执行时，向Win32DLL发出 RootKit的目的是保留持续的系统访问权和在计算机中 函数调用请求时，这些请求并非被DLL直接发送给内核，而 隐藏自己，它可以通过两种不同层次来实现，一种是修改(或 是首先通过Ntdll.dll文件。Ntdll.dll利用详细记录的函数调 者替换和包装)系统中