恶意软件（病毒）的分析与防范defenceanalysisofmalware.pptVIP

恶意软件（病毒）的分析与防范 Defence analysis of malware 计算机学院 傅建明 Fujms@ Rootkit Rootkit源于UNIX系统中的超级用户帐号，UNIX系统是Rootkit工具最初的攻击目标。现在，Rootkit可用于多种操作系统，包括UNIX和Windows。 Rootkit是特洛伊木马后门工具，通过修改现有的操作系统软件，使攻击者获得访问权并隐藏在计算机中。 关键：隐藏攻击者在系统中的存在，其包括多种掩饰攻击者在系统中存在的功能。 如进程，文件，注册表，服务，端口等隐藏 按操作系统分类 Unix RootKit Windows Rootkit 按照内核模式分类 用户级Rootkit 不深入系统内核，通常在用户层进行相关操作。 内核级Rootkit 深入系统内核，改变系统内核数据结构，控制内核本身。 UNIX用户Rootkit功能分类 提供后门访问的二进制替换程序 隐藏攻击者的二进制替换程序 用于隐藏但不替换二进制程序的其他工具 另外一些零散工具 安装脚本 UNIX系统中最流行的两种用户模式RootKit: LRK家族和URK家族。 Windows用户模式Rootkit 像UNIX上一样，修改关键性操作系统软件以使攻击者获得访问权并隐藏在计算机中。 用户模式RootKit控制操作系统的可执行程序，而不是内核。 Wind