Windows RootKit进程隐藏与检测技术研究.docVIP

下载本文档

8
0
约6.22千字
约 13页
2018-08-11 发布于福建
举报
版权申诉

Windows RootKit进程隐藏与检测技术研究.doc

1、原创力文档（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。。
2、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
4、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
5、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
6、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
7、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

Windows RootKit进程隐藏与检测技术研究

Windows RootKit进程隐藏与检测技术研究　　摘要：目前木马制造者趋于利用RootKit技术来隐藏它们的进程，危害信息与网络安全。重点从用户和内核两种模式深入剖析了Windows RootKit隐藏进程技术，并提出基于进程表的综合检测机制。测试证明：只有从用户和内核两种模式下应用多种进程表检测技术，才是安全检测隐藏进程更为有效的方法。　　关键词：Windows RootKit；远程线程注入；Dkom；进程表　　　　Research on Windows RootKit hidden process and detection technology 　　Liu Zhenghong 　　Beijing vocational college of electronic science and technology, Beijing, 100176, China 　　Abstract: At present the designers of Trojan Horse tend to use the RootKit technique to hide their process and harm the safety of information and network. This article focuses on using the two modes of user and kernel, this thesis analyses in detail the hidden process technology in Windows RootKit. It also point out the detection mechanism based on processList. Test results proved that only applying various processList detecting technology from two modes of user and Kernel can we test the hidden process more safely and effectively. 　　Key words: Windows RootKit; remotethread injection; Dkom; processList 　　　　随着网络的普及与发展,网络安全问题日益突出,一部分木马制造者已将触角深入系统底层来隐藏木马,通过修改操作系统内核来隐藏自己,欺骗用户,这就是RootKit。RootKit的隐藏特性严重影响系统的安全性和可靠性,而RootKit进程隐藏已成为管理员和安全检测软件所面临的最为迫切的安全威胁。　　　　1Windows RootKit介绍　　　　Windows RootKit是一个程序的集合,用于实现自身及系统中特定资源和活动的隐藏,破坏可信任计算机的完整性。攻击者通过在系统中种植RootKit,维护一个系统后门,以管理员权限控制系统,并且通过隐藏进程、文件、端口、句柄、注册表项、键值等来隐藏攻击行为。　　　　2Windows RootKit进程隐藏技术分析　　　　从运行环境和隐藏手段看,主要可归结为2类：　　(1)用户模式下,修改程序执行路径。　　(2)内核模式下,控制和修改操作系统内核结构和代码。　　这两种方式都可以通过挂钩系统重要函数模块、修改系统中重要数据结构等途径,对系统进程的相关信息进行劫持与修改,以达隐藏进程的目的。　　2.1 修改程序执行路径,实现进程隐藏　　在用户模式下,修改程序执行路径,实现进程隐藏主要是通过远程线程注入技术。　　2.1.1 远程线程注入技术　　是指通过在另一个进程中创建远程线程的方法进入进程的内存地址空间。其核心是产生一个特殊的线程,这个线程能够将一段执行代码连接到另一个进程所处的内存空间里,作为另一个进程的其中一个非核心线程来运行,从而达到交换数据隐藏自身的目的。其中远程线程注入dll是该技术中最佳方法,为进程隐藏提供了更大的灵活性。　　2.1.2 远程线程注入dll,隐藏进程　　远程线程注入dll其意义是将dll文件嵌入到正在运行的系统进程当中。dll文件是由多个功能函数构成,它并不能独立运行,所以在进程列表中并不会出现dll。　　hRemoteThred=CreateRemoteThread(hRemoteProcess,NULL,0,pfnStarAddr,pszLibFileRemote,0,NULL); 　　首先把一个实际为木马主体的dll文件(参数pszLibFileRemote)通过WriteProcessM