基于windows(2000%2f2003)内核对象rootkit检测.docVIP

基于 windows(2000/2003)内核对象的 rootkit 检测 摘要 随着 rootkit 技术的发展，病毒程序设计者趋于利用 rootkit 技术来隐藏他们的 非法行为，从而达到自己的目的。虽然目前存在各种各样的检测 windows rootkit 的工具，但这些工具只能检测某些特定的 rootkit，无法检测到一些新型的 windows rootkit 病毒。本文提出了一个新的、基于 windows 内核对象的 rootkit 检测技术 方法，该方法能够检测到目前 windows 环境下的大多数 rootkit 病毒。该方法的 基本原理就是通过扫描、检测 windows 操作系统内核中的关键的内核对象，如： 中断描述符表（IDT）、系统服务描述符表（SSDT）、重要 PE（Portable Executive） 文件、有关记录进程信息的数据结构等等，并对这些内核对象进行更深入、更全 面的保护。 基于本文提出的 windows rootkit 检测的研究成果，作者设计了一个新型 windows rootkit 检测工具，该工具是目前最全面的 windows rootkit 检测工具。它 可以检测 IDT/SYSENTER hook、SSDT hook、Inline hook、IAT/EAT hook、驱动 函数 hook，以及检测隐藏端口信息、隐藏文件信息和隐藏进程信息。 论文的主要工作如下： 1、对 windows rootkit 技术的历史背景、定义、分类进行了综述，并详细分 析了 windows rootkit 的各种实现技术，包括：中断描述符表、内核修补 技术、PE 文件分析。 2、研究了现有的各种 windows rootkit 检测方法。利用这些检测方法对几种 著名的 windows rootkit 以及目前的 rootkit 技术进行检测，然后对检测情 况作了简要的评述，指出了现有检测方法的缺陷以及需要改进之处。 3、提出了一种基于 windows 内核对象的 rootkit 检测方案，以全面、有效地 检测各种现有的 windows rootkit。windows 内核对象包括：windows 系统 内核架构对象、windows 系统内核 PE 文件对象、基于 windows 系统内核 功能对象。 a) 基于 windows 系统内核架构对象的 rootkit 检测就是对内核架构各层 的检测使用综合的检测方法。例如不将 inline hook 的检测方法仅仅 局限于 SSDT 表里的函数，而是扩展到凡是有内核函数地址调用的 IV 情况，都需要进行 inline hook 检测。 b) 基于 windows 系统内核 PE 文件对象的 rootkit 检测方法是检测 hook 点的内容是否与 PE 文件相应的地址处的内容相匹配。 c) 基于 windows 系统内核功能对象的 rootkit 检测方法就是依靠系统中 大多数相关内核功能对象来检测相关 rootkit。 4、基于本文提出的检测方案，作者实现了一个 windows rootkit 的检测工具 rootkitchecker.exe，该工具可以全面的、准确的检测目前所有流行的 windows rootkit。 本文的研究工作对 windows rootkit 的检测方法提供了比较完整的分析和总 结，所提出的基于内核对象检测方法，弥补了现有检测方法的不足，可以有效的 检测出各种 windows rootkit. 关键字：windows rootkit; 内核对象；系统服务描述符表；进程；端口；文件 V Windows Rootkit Detection based on Windows(2000/2003) Kernel Objects ABSTRACT Along with the development of rootkit technique,the program designers of virus tend to use the rootkit technique to hide their behavior so as to obtain their aim. Today there are various tools that used to detect rootkit in the window system,but these tools only can detect some special ro