基于结构体随机化的内核Rootkit防御技术.pdfVIP

书第３７卷　第５期 ２０１４年５月 计　　算　　机　　学　　报 ＣＨＩＮＥＳＥ ＪＯＵＲＮＡＬ ＯＦ ＣＯＭＰＵＴＥＲＳ Ｖｏｌ．３７ Ｎｏ．５ Ｍａｙ ２０１４ 　 收稿日期：２０１２０１２５；最终修改稿收到日期：２０１３１２２３．本课题得到国家自然科学基金６０７７３１７１６１２７２０７８，、国家“八六三”高技术研究发展计划项目基金（２００７ＡＡ０１Ｚ４４８，２０１１ＡＡ１Ａ２０２）资助．辛　知，男，１９８５年生，博士，主要研究 方向为软件与系统安全．Ｅｍａｉｌ：ｚｘｉｎ．ｎｊｕ＠ｇｍａｉｌ．ｃｏｍ．陈惠宇，男，１９８８年生，硕士，主要研究方向为软件抄袭检测．韩　浩，男，１９８５年 生，硕士，主要研究方向为Ｒｏｏｔｋｉｔ检测．茅　兵，男，１９６７年生，博士，教授，主要研究领域为软件安全、分布式系统与操作系统安全． 谢　立，男，１９４２年生，博士，教授，主要研究领域为操作系统分布式系统与信息安全． 基于结构体随机化的内核犚狅狋犽犻狋防御技术 辛知　陈惠宇　韩浩　茅兵　谢立 （南京大学软件新技术国家重点实验室　南京　２１００９３） （南京大学计算机科学与技术系　南京　２１００９３） 摘　要　内核Ｒｏｏｔｋｉｔ对于操作系统来说是个严重的威胁．入侵者通过植入内核Ｒｏｏｔｋｉｔ，修改一些关键的内核结 构体，实现恶意进程隐藏、日志文件删除、私密信息窃取等恶意行为．由于Ｒｏｏｔｋｉｔ主要通过篡改内核结构体对象来 实现控制流截取，因此我们试图通过结构体随机化来防御这些入侵．在文中，作者提出了一种基于编译器的自动结 构体随机化技术，解决了包括结构体的可随机化识别，随机化语义不变保护以及自动随机化等多个技术难题，最终 利用随机环境下攻击者无法预知结构体域排列的特点，实现对内核Ｒｏｏｔｋｉｔ的防御．在实验环节，我们在被随机化 的Ｌｉｎｕｘ系统中测试了已知的５种不同原理的８个真实的Ｒｏｏｔｋｉｔ，结果展示了我们的方法以几乎零负荷的代价防 御了全部的Ｒｏｏｔｋｉｔ加载． 关键词　计算机安全；内核Ｒｏｏｔｋｉｔ；随机化；结构体；操作系统；网络安全；信息安全 中图法分类号ＴＰ３０９　　　犇犗犐号１０．３７２４／ＳＰ．Ｊ．１０１６．２０１４．０１１００ 犓犲狉狀犲犾犚狅狋犽犻狋犇犲犳犲狀狊犲犅犪狊犲犱狅狀犃狌狋狅犿犪狋犻犮犇犪狋犪犛狋狉狌犮狋狌狉犲犚犪狀犱狅犿犻狕犪狋犻狅狀 ＸＩＮ Ｚｈｉ　ＣＨＥＮ ＨｕｉＹｕ　ＨＡＮ Ｈａｏ　ＭＡＯＢｉｎｇ　ＸＩＥ Ｌｉ （犛狋犪狋犲犓犲狔犔犪犫狅狉犪狋狅狉狔犳狅狉犖狅狏犲犾犛狅犳狋狑犪狉犲犜犲犮犺狀狅犾狅犵狔，犖犪狀犼犻狀犵犝狀犻狏犲狉狊犻狋狔，犖犪狀犼犻狀犵　２１００９３） （犇犲狆犪狉狋犿犲狀狋狅犳犆狅犿狆狌狋犲狉犛犮犻犲狀犮犲犪狀犱犜犲犮犺狀狅犾狅犵狔，犖犪狀犼犻狀犵犝狀犻狏犲狉狊犻狋狔，犖犪狀犼犻狀犵　２１００９３） 犃犫狊狋狉犪犮狋　Ｋｅｒｎｅｌ ｒｏｏｔｋｉｔ ｈａｓ ｂｅｅｎ ｄｅｍｏｎｓｔｒａｔｅｄ ａｓ ａ ｓｅｒｉｏｕｓ ｏｐｅｒａｔｉｎｇ ｓｙｓｔｅｍ ｋｅｒｎｅｌ ｔｈｒｅａｔ． Ｗｉｔｈ ｔｈｅ ｉｎｊｅｃｔｉｏｎ ｏｆ ｔｈｅ ｍａｌｉｃｉｏｕｓ ｒｏｏｔｋｉｔ ｉｎｔｏ ＯＳ ｋｅｒｎｅｌ，ｗｈｉｃｈ ｔａｍｐｅｒｓ ｖｉｔａｌ ｄａｔａ ｓｔｒｕｃｔｕｒｅｓ， ｔｈｅ ｉｎｔｒｕｄｅｒ ｃａｎ ｄｅｌｉｖｅｒ ｐｒｏｃｅｓｓ ｈｉｄｉｎｇ，ｌｏｇ ｆｉｌｅ ｄｅｌｅｔｉｏｎ，ｐｒｉｖａｃｙ ｉｎｆｏｒｍａｔｉｏｎ ｓｔｅａｌｉｎｇ ａｎｄ ｏｔｈｅｒ ｍａｌｉｃｉｏｕｓ ｂｅｈａｖｉｏｒｓ．Ｂａｓｅｄ ｏｎ ｔｈｅ ｂａｓｉｃ ｉｎｓｉｇｈｔ ｏｆ ｔｈａｔ ｒｏｏｔｋｉｔ ｉｎｔｅｒｆｅｒｅｓ ｉｎ ＯＳ ｋｅｒｎｅｌ ｔｈｒｏｕｇｈ ｄａｔａ ｓｔｒｕｃｔｕｒｅｓ，ｉｎ ｔｈｉｓ ｐａｐｅｒ，ｗｅ ｐｒｅｓｅｎｔ ａ ｃｏｍｐｉｌｅｒｂａｓｅｄ ｄａｔａ ｓｔｒｕｃｔｕｒｅ ｒａｎｄｏｍｉｚａｔｉｏｎ ｔｅｃｈｎｉｑｕｅ， ｗｈｉｃｈ ｃａｎ ｉｄｅｎｔｉｆｙ ｔｈｅ ｒａｎｄｏｍｉｚａｂｉｌｉｔｙ ａｎｄ ａｃｈｉｅｖｅ ｔｈｅ ｒａｎｄｏｍｉｚａｔｉｏｎ ａｕｔｏｍａｔｉｃａｌｌｙ ｗｉｔｈｏｕｔ ａｌｔｅｒｉｎｇ ｔｈｅ ｏｒｉｇｉｎａｌ ｓｅｍａｎｔｉｃｓ．Ｗｉｔｈ ｔｈｅ ｒａｎｄｏｍ ａｎｄ ｕｎｅｘｐｅｃｔｅｄ ｄａｔａ ｓｔｒｕｃｔｕｒｅ ｆｉｅｌｄ ｓｅｑｕｅｎｃｅ， ｔｈｅ ｉｎｔｒｕｓｉｏｎ ｏｆ ｋｅｒｎｅｌ ｒｏｏｔｋｉｔ ｗｉｌｌ ｆａｉｌ．Ｔｈｒｏｕｇｈ ｔｈｅ ｅｘｐｅｒｉｍｅｎｔｓ ｏｆ ｅｉｇｈｔ ｗｅｌｌｋｎｏｗｎ ｖａｒｉｏｕｓ ｒｏｏｔｋｉｔｓ ｉｎ ｆｉｖｅ ｃａｔ