原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
WindowsRootkit分析与检测综合方法.PDF
软件天地 Software Technology
Windows Rootkit 分析与检测综合方法
1,2 1
陈伟东 ,张 力
(1.清华大学 软件学院,北京 100084 ;
2.国家企业信息化应用支撑软件工程技术研究中心,湖北 武汉 430074)
摘 要 :分析了已知的 Rootkit 检测方法 ,并根据上述检测方法提出了一种基于采用比较核心
模块查证内存代码段的完整性和检测隐藏驱动的方法 。该方法能够检测大部分应用层 Rootkit 和内核
Rootkit.
关键词 :W indows Rootkit ; 内核对象;系统服务描述符表;进程 ;端口 ;文件
中图分类号:TP311.1 文献标识码 :B
Synthetic approach for Windows Rootkit analysis and detection
CHEN Wei Dong1,2 ,ZHANG Li1
(1.School of Software ,Tsinghua University, Beijing 100084 ,China;
2.State Enterprise Informationization Application Support Software Engineering Research Center,Wuhan 430074,China)
Abstract :This paper analyses the methods of Rootkits detections of nowdays ,brings a method of kernel modules compared,checks memory
sections integration and hidden driver detection.This method can detect most application layer Rootkits and kernel Rootkits.
Key words :Windows Rootkit; kernel object; system service description table; process; port; file.
计 算 机 网 络 和 应 用 日 益 普 及 ,针 对 计 算 机 系 统 的 隐藏自身的目的 ;内核级 Rootkit 通过修改系统底层内核
攻击趋于隐蔽和复杂化 ,在各种攻击方法中 ,Rootkit 能 来隐藏与 Rootkit 相关的文件 、进程 、通信等信息 。
够持久地在计算机中寄存 ,无法被普通用户检测 。多数 内核级 Rootkit 涉及操作系统的底层内核 。操作系
Rootkit 可以隐藏文件和目录 ,Rootkit 的其他特性通常用 统内核作为操作系统最重要部分 ,完成了文件系统 、进
于远程访问和窃听 。Rootkit 具备下述功能 :(1)窃取重要 程调度 、系统调用 、存储管理等功能 。内核级 Rootkit 修
信息 :通过监控键盘击键以及网络数据 ,窃取用户口令 改操作系统的内核 ,例如中断调用表 、系统调用表 、文
以及网络银行密码等隐私信息 ;(2)Rootkit 隐藏的后门可 件系统等内容 。 由于系统内核在操作系统最底层 ,一旦
以 使 攻 击 者 维 持 控 制 权 ;(3) 隐 藏 攻 击 痕 迹 , 隐 藏 与 内核受到 Rootkit 攻击 ,应用层的程序从内核获取的信
Rootkit 相关的文件 、进程 、通信链接和系统日志等攻击 息 将 不 可 靠 ,第 三 方 的 应 用 层 检 测 工 具 无 法 发 现
痕迹 ;(4)欺骗检测工具 ,使检测工具无法发现系统的异
文档评论(0)