基于.nt的rootkit检测系统的研究与实现-软件工程专业论文.docxVIP

万方数据 万方数据 分类号 密级 UDC 注 1 学 位 论 文 基于.NT 的 Rootkit 检测系统的研究与实现 （题名和副题名） 罗 宁 （作者姓名） 指导教师 杨 霞 副教授 电子科技大学 成 都 施泉荣 高 工 中国移动通信湖州分公司 湖 州 （姓名、职称、单位名称） 申请学位级别 硕士 专业学位类别 工程硕士 工程领域名称 软 件 工 程 提交论文日期 2013.9.25 论文答辩日期 2013.12.1 学位授予单位和日期 电子科技大学 2013 年 12 月 24 日 答辩委员会主席 评阅人 注 1：注明《国际十进分类法 UDC》的类号。 万方数据 万方数据 RESEARCH AND IMPLEMENTATION OF ROOTKIT DETECTION SYSTEM BASED ON.NT A Master Thesis Submitted to University of Electronic Science and Technology of China Major: Master of Engineering Author: Luo Ning Advisor: Yang Xia School : School of Information and Software Engineering 万方数据 万方数据 独 创 性 声 明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作 及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方 外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为 获得电子科技大学或其它教育机构的学位或证书而使用过的材料。与 我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的 说明并表示谢意。 作者签名： 日期： 年 月 日 论文使用授权 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘， 允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文的全 部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描 等复制手段保存、汇编学位论文。 （保密的学位论文在解密后应遵守此规定） 作者签名： 导师签名： 日期： 年 月 日 摘 摘 要 ABSTRACT ABSTRACT 万方数据 万方数据 万方数据 万方数据 摘 要 由于 Rootkit 使用深层隐藏技巧，传统的基于文件系统过滤实现的反病毒检测 软件已经很难检测其存在性。任何一款木马病毒只要依附上 Rootkit，反病毒软件 即无力去检测它的存在。并且随着 Rootkit 技术本身的高速发展，现有的流行 Rootkit 检测工具已经无法检测出最新的 Rootkit（如 FUTo 和 FHide 等）。无疑，Rootkit 已成为威胁信息系统安全的最棘手的问题。而由于商业机密等种种原因，关于 Rootkit 检测技术的资料和有效工具还比较匮乏。 在易失数据检测细化框架的检测分支研究过程中，探讨了进程、驱动、端口 元素的具体检测实现。进程部分利用 Multi-way based 思想综合了五种检测方法的 结果。驱动部分利用 Multi-way based 的思想综合了两种检测方法的结果。在非易 失数据检测细化框架的检测分支研究过程中，探讨了文件和注册表元素的检测实 现。最终，通过综合易失与非易失这两部分的检测细化框架实现过程，完成了设 计的总体检测方案的具体实现。通过对入侵检测信息进行优化，可以提升 Rootkit 信息控制能力，在技术分析与控制过程中需要进行全面的数据模型控制，通过优 化信息管理策略，可以提升数据信息的控制能力，对数据安全管理产生积极的作 用，从多方面提升数据信息的管理水平，对数据信息模型化管理进行平台优化。 在分析 Rootkit 检测系统方法结构的基础上,设计了一种针对 Rootkit 检测的总 体技术方案。该方案内部包含了针对 Rootkit 非易失性和易失性数据的检测两部分。 其中,非易失性数据检测部分内部应用了多种检测方法综合的 Multi-way based 的思 想。最后，本文给出了基于该检测方案实现的 Rootkit 检测原型系统 SecRoot Anti-Rootkit，并与其它 Rootkit 检测工具作了对比测试分析。该方法和技术在本领 域中具有一定实用价值和参考意义。 关键词：后门程序，Rootkit 检测，SecRoot 技术，Multi-way 技术 I ABSTRACT As a result of in-depth Rootkit hiding technique, the traditional file system filter based