恶意代码剖析和Rootkit检测-XCon安全焦点信息安全技术峰会.PDF

恶意代码剖析和Rootkit检测 Matt Conover Email: shok1234 1 介绍 一场持续的猫和老鼠的游戏 检测和分析机制多年来变化不大 指令跟踪 系统Hook调用或API调用 Malware/Rootkits 日益成熟并且善于躲避 隐藏 2 内容简介 分享rootkit检测和躲避艺术的技术状况 介绍一种新的Windows平台下rootkit检测 和恶意代码分析的方法 适用于检测目前的所有rootkit 一个简单的分析实例 讨论特征语言（signature language ）在 rootkit检测上的应用 3 Rootkit介绍 Windows平台上最早发现于1999 (NTRootkit, Hoglund): 不同于病毒 非破坏性的信息收集工具 通常运行在核心(更易隐藏) 通常被黑客手工安装 确保能再次进入系统 隐蔽地捕获密码，键击等 4 Rootkit检测 商业上对rootkit的兴趣远不及恶意程序 当前大多数检测机制并不专门针对rootkit 相对于流行的恶意或间谍程序，明显缺乏关注 这种状况导致自食其果 商业性工具缺乏检测导致人们不知道是否被安装 了rootkit 因此用户对rootkit检测的需求不高 5 猫的情况（Rootkit检测） 当前的四种检测机制： 已应用：反病毒软件方法 研究中：HIPS （Host Intrusion Prevention Systems） 研究中：执行路径分析（EPA） 新方法: 分测试(Differential testing) 6 反病毒方法 对付已知rootkits方面很有效 当新的变种和rootkits发布需要产生新特征 在rootkit被运行前，检测它的指纹 7 反病毒方法的缺陷 很少rootkit是公开的 低可靠性 Rootkits深度隐藏并且非 坏性 少量的rootkit样本被送到反病毒公司 太迟了 Rootkits可以使antivirus的hook失效 (通 常通过文件系统的过滤驱动） AV 定义出来的太晚了J 8 HIPS方法 两个层面的防御 防止机器被exploits 检测缓冲区溢出、 RLIBC等 防止攻击者进入kernel