Windows系统下多种Rootkit隐藏方式分析以及探测方法研究.pdfVIP

2009.05 专题研究 51 doi 10.3969/j.issn.1671-1122.2009.05.020 ： Windows系统下多种Rootkit隐藏方式 分析以及探测方法研究 张亚航，刘波，韩啸，姜电波，靳远游 （北京大学软件与微电子学院信息安全系,北京 102600） 摘 要：在网络攻防中，系统攻击者最大的障碍，常常是作为系统安全守护者的安全防护软件。本文通过对Windows NT操作系 统下Rootkit隐藏机制的研究，分别实现了修改进程调度表SSDT、直接修改内核对象DKOM和修改IRP等多种Rootkit实现技术，达到 对抗安全软件的目的。本文针对不同的Rootkit实现技术进行了Rootkit检测技术的研究和实现。 关键词：Windows; Rootkit; SSDT; DKOM; IRP; 检测技术 中图分类号：TP393.8 文献标识码：A Research on kinds of RootKit Hiding and Detecting Technology in Windows OS ZHANG Ya-hang, LIU Bo, HAN Xiao, JIANG Dian-bo, JIN Yuan-you Department of Information Security, SSM, Peking University, Beijing 102600, China ( ) Abstract: In the network attack and defense, the attacker’s most important enemy is always be the System Security Defense Software. This paper studied kinds of Rootkit hiding technology, practiced some representative Rootkit in some different ways, such as modifying SSDT, DKOM, IRP, to hiding targets. This paper also studied and practiced kinds of Rootkit detecting technology contraposing different Rootkit tech as described above. Key words: Windows; Rootkit; SSDT; DKOM; IRP; detecting technology 0 引言 地址，这些服务函数是 Microsoft提供的API。对SSDT中服 所谓的Rootkit，一般的理解就是可以在计算机上实现隐 务函数的地址进行替换，执行我们定义的函数，过滤掉我们 藏作用的一系列代码和程序，在攻击阶段上课划分为后攻击 不希望显示的信息，从而达到隐藏的目的。 阶段技术 [1][2][3]。它的主要功能就是实现隐藏，其中包括进程 首先定义一系列的函数指针来存储系统中原来的服务函 的隐藏，注册表的隐藏，文件的隐藏等，保护注入的病毒、 数的地址，这样做一方面是可以在驱动卸载时，还原系统 后门程序、木马等不被系统发现，保证尽可能长期地生存与 原来的面目，另一方面是在程序中也要调用这些服务函数 系统之中，达到攻击者的目的。本文在Windows内核的基础上， 来获得原始信息。在程序中，通过宏 SYSTEMSERVICE 对 对