基于ＮＴ内核操作系统的ＲｏｏｔＫｉｔ的实现.docVIP

基于ＮＴ内核操作系统的ＲｏｏｔＫｉｔ的实现 　　摘要：介绍了Windows NT平台下RootKit实现的基本原理及步骤，探讨了在Windows平台下进行Ring0级编程的实现及如何修改安全参考监视器来彻底突破NT的安全防御系统，并给出了整个RootKit的部分核心汇编源代码。 　　关键词：RootKit；Windows NT；Ring 0；安全参考监视器 　　中图分类号：TP309文献标识码：A文章编号：1009-3044(2008)35-2550-03 　　NT Operating System Kernel Based on the Realization of the RootKit 　　ZHAO Xiao-juan 　　(HuNan Urban Construction College，Xiangtan 41110 ) 　　Abstract: Introduced the Windows NT platform RootKit to achieve the basic principles and steps on the Windows platform under Ring0-level programming to achieve security and how to modify the reference to thoroughly monitor the safety of NT breakthrough defense system， and gives the whole RootKit The core part of the compilation of source code. 　　Keywords: rootkit; windows NT; ring 0; security reference monitor 　　 　　1 引言 　　 　　Rootkit最初指被修改和重新编译后用来隐藏入侵者活动痕迹的一组Unix 工具（典型的工具有ps、netstate 和passwd）。现在，Rootkit 是入侵者或非法的黑客为了隐藏它存在的痕迹和使用其系统而执行未经许可的功能，用来破坏计算机获取目录使用权的一套软件工具。Rootkit的存在可追溯到上个世纪90年代初，那时Solaris 和Linux 操作系统是Rootkit主要的攻击对象。而现在Rootkit不再局限于像Unix这样的系统，其他的操作系统，如Microsoft Windows也已成为入侵者的目标。 　　RootKit的目的是保留持续的系统访问权和在计算机中隐藏自己， 它可以通过两种不同层次来实现，一种是修改或者替换和包装系统中用户包括管理员运行的可执行文件和库文件，在操作系统的用户态下执行， 这种方式的被称为“ 用户模式” 另一种是控制和修改操作系统内核，运行在操作系统的内核态，这种方式是“ 内核模式”。[1] 　　Windows 下应用程序有自己的地址空间，只能调用自己地址空间中的函数，所以，在挂钩API函数之前，必须将一个可以替代API 执行的函数的执行代码注入到目标进程，然后再想办法将目标进程对该API 的调用改为对注入到目标进程中自定义函数的调用。[2] 　　 　　2 NT的安全保护措施 　　 　　2.1 基于网络的安全与Windows NT信任域 　　NT内核中有一个执行组件叫做安全参考监视器(SRM)。在DoD的红皮书中也已定义了一个“安全参考监视器”。在红皮书中，一个安全域被一个单一的实体所管理。 　　“一个单一的信任系统犹如一个单一的实体一样，通过一个单一的信任证据所接受。一个单一信任系统网络执行相关的参考监视器来加强对对象访问时所应遵循的清晰的和良好定义的网络安全政策。[2]” 　　以上描述在NT中就是主域控制器(PDC)，记住每一个系统都有本地安全和域安全。PDC的安全参考监视器负责管理域内的所有对象，与此同时，它创建了一个单一的控制点，和一个单一信任系统网络。 　　2.2 如何侵犯系统的完整性 　　DoD红皮书定义了“信任处理基础”(TCB)。在Windows NT中使用安全特权SE_TCB_PRIVILEGE指令和“担当操作系统一部分”的用户权利非常相似，可以通过使用管理员权限来将这个安全特权添加给某一个用户。 　　如果有权担当TCB的一部分，几乎可以做任何事情。现在在进程和剩下系统之间几乎没有安全措施。如果TCB不再被信任了，那么整个网络系统的完整性也已受到攻击。将要展示的就是这样的一个例子，如果它被安装在一个工作站上，就会侵犯一个网络分区。如果它被安装在主域控制器上，将会侵犯整个网络的完整性。 　　在一个相同的主机里，可能拥有两个唯一的区域：TCB在传统的红