windowsrootkit技术概述概要.pdf

应 用 安 全 Windows Rootkit技术概述 吴昆 湖南大学软件学院 湖南 419080 摘要：Rootkit是攻击者用来隐藏踪迹和保留访问权限的工具集，加载入系统内核的内核级rootkit使得操作系统本身变得 不可信任，造成极大的安全隐患。而结合rootkit技术的木马则变的更加隐蔽。本文将详细讨论Windows环境下的Rootkit技 术的发展历史及现状，以及目前主要的检测技术。 关键词：Rootkit；后门；检测；安全；木马 0引言 访问系统服务，但可通过函数名或是代号(称为服务号ServiceID 近年来随着网络应用的持续深入发展，网络安全问题日益 或分配号DispatchID)来访问。代号在0到0xFFF之间的系统服务 突出，特别是近几年网络上猖獗的特洛伊木马与后门软件，其 是常规的系统服务，代码实现主要是在ntoskrnl.exe文件中，用 中最为难缠的要算RootKit，它集特洛伊木马与后门软件的特性 于完成文件管理、进程管理、线程管理、内存管理、对象管理 于一身，通过修改操作系统内核，使攻击者获得持续的系统访 等操作系统的基本功能。而代号在0x1000到0x1FFF之间的系 问权，并将自己隐藏在系统中不被用户发现。RootKit技术也具 统服务是专门用于处理图形以及提供用户接口的一些函数， 有其两面性，它一方面造成极大的破坏，另一方面RootKit技术 在内核态中实现，主要的代码在Win32k.sys文件中。 也是系统软件开发特别是系统安全软件开发的关键技术之一。 （1）替换文件。Windows操作系统中包含着大量的可执 1 Windows Rootkit技术原理分析 行文件和DLL文件。当需要函数调用时系统会通过DLL文件 名和文件位置来加载DLL文件。如果把系统真正的DLL文件 Rootkit也被称作内核模式木马，远比现在常见的Win- 改名，而用攻击者编写的DLL文件来代替系统真正的DLL文 dows后门程序复杂得多。和普通的用户模式木马不一样， 件，那么当系统调用时加载的则是攻击者的DLL文件,因此攻 Rootkit通常挂钩到操作系统的各种函数中，甚至改变操作系 击者就可以实现其所想要达到的隐藏目的。虽然操作简单，但 统的核心数据结构，来达到持续的系统访问权和在计算机中 是缺点也很明显，很容易被各种文件完整性保护工具所发现。 隐藏自己的目的。通常情况下会执行以下的操作：在进程列 （2）挂钩输入地址表。PE文件中的输入地址表 表中隐藏进程、在文件管理器中隐藏文件和目录、在注册表 Address Table)用来保存本模块中需要静态调用的所有输入函数 编辑器中隐藏注册表键值、修改访问控制机制、隐藏端口、隐 的地址。当某模块调用一个输入函数时，其执行线程实际上先 藏服务、以及使用其他方法来欺骗合法用户，使之能长期存 从此模块的输入地址表中查找到该输入函数的地址，然后跳转 在于被植入的电脑，窃取用户的关键信息。 到此地址继续执行。当Rootkit进入目标程序的地址空间时，Roo- Windows Rootkit定义：是运行于Windows系统中的一种 tkit解析Windows PE格式可执行程序的内存