linux操作统下rootkit检测技术研究.pdf

摘受 摘 要 随着计算机网络的飞速发展，内核Rootkit作为一种长期隐蔽控制计算机 系统的有效工具，成为影响网络信息安全的问题之一。Rootkit是攻击者在入 侵操作系统后用来保持对系统的超级用户访问权限，创建后门和隐藏攻击痕迹 系统上。 的攻击原理。 FlUX 现，主要针对隐藏行为，结合特征码检测和对比检测的优点，阐述了一种在Li 系统下检测Rootkit的方法——基于事后行为的比较检测方法。该方法不仅可 统设计以检测引擎逐项检测Rootkit特征文件和应用程序二进制文件罩的特征 字符串，所需的Rootkit特征库定时更新；扫描目录／dev和整个文件系统；检 测进程、端口、网卡等。此外，还设计了文件访问即时检测模型来实时监测对 文件系统中单个文件的操作。 本研究内容是在2．6版本的Linux内核基础上，依据Linux也将设备、虚拟 内存、物理内存等都作为文件来管理的原理，在实现上做了针对性的改进。该 引擎可以针对流行的、常见的、出现概率大的Rootkit做快速扫描检测，也可以 对整个文件系统做全面而系统的检查，既有灵活性，又有系统性。 关键词Rootkit；Linux；操作系统内核；可加载内核模块 Abstract Abstract kernel—1evel Withthe of network，a rapiddevelopmentcomputer hiddentoolforcontrollthe rootkitasa effective ing computer long—term ofthe ofnetworkinformationhasbecomeone tS security system，iimpact issues．RootkitiSakindoftoolusedtocontrol S targetcomputersystem and after intoit．Rootkits permanentlysecretlysuccessfullybreaking suchas S and existfora of Linux，Solari varietyoperatingsystems Mi Windows． crosoft articleintroducedsome aboutthe Firstly，thiS elementaryknowledge Linux andthe the ofrootkits system rootkit，andprinciple attacking． onthe ofthe ofrootkit Based analysiS principle