计算机后门程序windows rootkit剖析与实现-analysis and implementation of computer backdoor program windows rootkit.docx

下载文档 降价啦

27
0
约5.23万字
约 56页
2018-05-28 发布于上海
举报
版权申诉
保障服务

计算机后门程序windows rootkit剖析与实现-analysis and implementation of computer backdoor program windows rootkit.docx

1、本文档共56页，可阅读全部内容。
2、原创力文档（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。
3、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。

计算机后门程序windows rootkit剖析与实现-analysis and implementation of computer backdoor program windows rootkit

第1章:绪论，介绍论文的研究背景、研究内容及论文的章节安排。第2章:Windowsrootkit概述，对Windowsrootkit进行概要介绍，全面讨论了Windowsrootkit在实现过程中涉及到的重要问题，包括:CPU保护模式、OS的HOOK技术、deωur补丁技术、DKOM隐藏技术。第3章:Windowsr，∞tkit隐藏技术，介绍了Windowsrootkit经典的各种隐藏方法。这些隐藏技术包括:隐藏文件、隐藏进程、隐藏端口、隐藏驱动。第4章:Windowsrootkit高级技术的研究与设计，随着Windowsrootkit技术不断发展，使用了一些值得关注的新技术。本章关注这些技术，井分析其技术实现。第5章:总结与展望，总结论文的研究成果，井展望后续的研究工作。2Windowsr∞tkit概述Windowsrootkit的定义在Windows系统上，fl∞也it.∞m创始人GregHoglund首先实现了专门用来隐藏数据的工具软件，这个工具软件通过综合使用不同技术以达到躲避系统的保护功能。在著名电子杂志PHRACK上，GregHoglund发表了他的研究结果IZl，井将他设计的程序命名为NTRootkit.从此，恶意软件设计者开始关注井学习Windowsrootkit技术，，而NTR∞汰it则从技术角度不断激发r∞tkit设计者与安全研究者对系统进行更深入的探索。GregHoglund对r∞tkit的定义如下:Ar∞tkitisatoolthatisdesignedtohideitselfandotherprocesses，data，and/oractivityonasystem.131)Windowsrootkit的分类因为Windows在运行过程中会创建两个空间:用户空间l与内核空间，所以Windows3Jl台上的rootkit根据其所在的运行空间可以分为两种:用户模式rootkit(UserModeR.!∞tkit)和内核模式rootkit(KemelModeR∞tkit)14]。应用程序在用户空间里面运行，必须通过系统调用向内核请求访问计算机硬件资源。内核空间管理这些资源，并在必要时把资源分配给程序。用户模式rootkit在用户空间里面运行，它可能作为单个应用程序存在，也可能注入到某个应用程序或者系统程序中:内核模式r∞tkit则在操作系统内核空间运行，以系统驱动程序的形式存在于系统中l匀。本节以后如没有特别说明，所讨论的都是内核模式的Windowsrootkit.CPU保护模式硬件是软件安全的最终实施部件。没有硬件的支持，软件的安全将是无法保证的，所以深刻理解操作系统底层的IA-32硬件架构是分析rootkit的基础知识。本节讨论IntellA-32Intel⑧ArchitectureCPU保护模式的内存访问机制，以IA-32内仔管理为主线，并对重要概念用内核调试器windbg加以验证，最后阐明这些知识对rootkit的重要性。需要注意的是本节只是从rootkit角度提及IntellA-32CPU的保护模式，更全面的相关介绍可参阅文献闷。2.3.1地址转换在保护模式下逻辑地址并不是直接转换为物理地址，而是将逻辑地址首先转换为线性地址，再将线性地址转换为物理地址(如图2.1)。由于WindowsXP的数据段和代码段的基地址都是O(如图2.匀，所以在WindowsXP平台上逻辑地址的偏移地址即线性地址。图2.1lA-32的地址变换线性地址空间是32位所能表示的一个OxOOωo∞h-OxFFFFFFFFh(f!P0--4G)的连续地址空间.CPU在得到逻辑地址后首先通过分段机制转换为线性地址，线性地址再通过分页机制转换为物理地址，CPU最后通过物理地址读写数据。分段机制为支持多任务运行提供了实现机制;分页机制为支持虚拟存储提供了实现机制。分段机制全局描述符表GDTG1obalDescriptorTable):在整个系统中，全局描述符表GDT只有一个，GDT可以被放在内存的任何位置，IA-32的设计者提供GDTR寄存器来存放GDT的入口地址，以及GDT的界限值。局部描述符表LDT(LocalDescriptorTable):局部描述符表在系统中可以有若干个，每个任务对应一个。可以把GDT看作一级描述符表，LDT为二级描述符表。基于IA-32结构的32-?LWindows可以使用页机制而完全不使用LDT，但为了兼容目的32位Windows在个别地方仍支持LDT(如图2.2)。由于LDT在32位Windows中的实际作用下降，所以下面仅讨论GDT。15I5t:515151515151515.51515151515I515_4II:nIiI冒IUII!IlT.I.m..:凹.:凹.:…mmmlmIl1图2.2GDT中L