windows系统Root肠t检测技术的研究-计算机应用技术专业论文.docxVIP

太原理 L大学硕士研究坐学位论文 任范围，但 Patchfinder 还是难于越免误判发生。 (3) Blacklight F-Secure 开发的 Blacklight 是基于 交叉视国技术的 ._款 Rootkit 检测工具 ，可用来检 测被 Rootkit 所隐藏的进程和文件。 Blacklight 分别利用 WindowsAPl 函数来u系统底层技 术来枚举系统中所有的进程和文件，然后比较树种方法所得结果是否存在不同，以此来 检测隐藏在跺作系统中的 Rootkit 。其中，为了能够有效地检测山被 Rootkit 所隐藏的对 象， Blackligh t 用于系统底层枚举对象的算法已经进行了多次改变。 (4) R ootki t Revea ler Rootk it Revea)er 主要是用于检测持久性 Rootkit(匀，即在系统重启之日仍然能够存在 的 Rootkit 。与之相对的是基于内存型的Rootkitl5]，即在系统重启后不能存活的 Rootkit 。 其中， Rootkit 为了;在系统重启后仍然能存活， Rootkit Revealer 认为其不得不存在于文 件系统和 Windows 注册表中 。为 了探测到这些持久性 Rootkit， Rootk i t Rcv ea)er 利用了 交叉视图技术 。Rootkit Revealer 一方面调用 Win dowsAPI 函数来枚举文件和注册表项， 另一方面，解析磁盘上原始的文件系统结构和注册表文件，然后对这两种方法获得的结 果进行比较 ，以此来判断系统中是否存在着持久性 Rootkit 。如果在系统高层检测和底层 检测之间，有文件或注册表项被创建、更改或删除，则 Rootkit Revealer 会出现误判。 ( 5) Tripwire Tripwire 是一款基于磁盘先整性的 Rootkit 检测工具。该工 具首先在未受到入侵的干 净系统中计算用户硬盘上每 一个系统文件的 CRC 校验值，并将结果保存到数据库中。 由于系统文件一般不会改变(除非有系统打补丁或者升级)，所以，当用 户扫描恶意程 序的时候， Tripwir e 就重新计算系统文件的 CRC 校验值，然后与非储在数据库中的系统 文件原始 CRC 校验值进行比较，如果存在不同则意味 着系统受到了 Rootkit 的入侵。对 于早期的用于替换系统文件的 Rootkit ，Tripwire 是十分有效的。随 着 Rootkit 将修改对 象转移到内存， Tripwire 对此显得无能为力。 (6) System Virginity Verifier System Virginity Verifier 是由 Joanna Rutkowska 所设计与开发的- 款检测 Rootkit 的 原型工具闷。利用内存完整性检测技术， System Virginity Verifier 将磁盘上重要的系统程 序库和驱动的代码段与它们相应的内存映像进行比较，如果出现不同，则表明它们在内 存中的代码被恶意修改了，系统巾存在着 Rootkit 。 3 太原理工大学硕士研究生学位论文 (7)JceSword IceSword ，巾文称及iC刃，是由阿f 所开发的…款功能强大的 Window $ Rootki t 检测和 处理工具。利周多种系统内核技术 ，IceSword 可以对隐藏的进程、 端 口、驱动、服务等 进行检测，也能检测 出系统服务调度表是否被挂钩，并 将被挂钩的系统 服务项以红色显 示山来。同时， lceSword 也能检测出系统中隐藏的注册表项和文件 。 虽然针对 Wimlows Rootkit 的检测技术已经取得了 若进步， tl:l. Rootkit 为了膛免其 被检测到也在不断地更新其所使用的隐藏技 术， 二者的斗争将是 一个长期的过程。为了 能够有效地应对 Rootkit 对 Windows 操作系统的危害 ，研究人员需要不断地分析新出现 的 Rootkit 技术， 同时也要不断地研究 Windows 操作系统的运行机制， 只有这样才能使 检测技术的发展跟 t Rootkit 的发展。总之，对 Windows 操作系统中 Rootki t 检测技术的 研究不能有丝毫懈怠。 1.3 论文研究内容 本文主要是对 Windows 操作系统中 Rootkit 检测技术进行研究，并以此为基础，设 计和实现了一个 Rootkjt 检测程序。利用该 Rootkit 检测程序，可以有效地对使用了修改 程序执行路径技术或直接内核对象操作技术的 Rootkit 迸行检