基于Xen的Rootkit检测技术研究-通信与信息系统专业论文.docxVIP

万方数据 万方数据 摘要 近年来，Windows Rootkit 技术越发复杂、隐藏能力大大提高，多数恶意代码 都采用 Rootkit 来隐藏自身，使其具有更大的危害性。随着 Windows Rootkit 反检 测、反分析技术的快速发展，对 Rootkit 检测系统的设计与实现提出了更高的要求。 很多 Rootkit 检测技术及工具已不能满足检测出当前多种复杂的内核级 Rootkit 的 要求。自 Xen 系统支持硬件辅助虚拟化技术以来，其具有的高特权性以及对客户 机操作系统的高透明性，为检测 Rootkit 的实现提供了保证。因此，在理论上基于 Xen 的 Rootkit 检测技术可有效地检测出 Rootkit 的存在，同时能够获取更为底层、 更加真实的 Rootkit 行为信息，本文也给出了相应的测试结果。 为研究基于 Xen 的 Rootkit 检测技术以及设计和实现检测方案，本文的主要工 作有： (1) 研究了 Windows Rootkit 的主要原理与相关技术，以及 Windows 操作系统 下遍历进程链表信息的基本原理。 (2) 研究了虚拟机 Xen 的工作机制，着重分析了 Xen 4.0.1 源码中与硬件虚拟 化技术相关部分代码，利用 Xen API 编写可获取客户机操作系统内存信息的程序。 (3) 研究了 x86 系统下内存保护与访问控制方法，通过为关键函数所在内存页 面设置写保护，可在 Xen 层拦截内核数据访问行为。 (4) 基于以上工作，设计并实现了基于 Xen 的 Rootkit 检测系统。 最后利用 Windows 系统下著名的 Rootkit—Hacker defender 对检测系统进行了 测试，并给出检测与验证结果。实验证明，本文提出的基于 Xen 的 Rootkit 检测方 案在 Rootkit 检测技术中具有可行性。 关键字：Xen Rootkit 检测 硬件虚拟化技术 内存保护 Windows 操作系统 Abstract The rootkit technology is more complex and the ability to hide is greatly improved in recent years,and lots of malicious code use rootkit to hide themselves which make them more dangerous.The rootkit anti-detection technology has also developed rapidly,so it needs a higher requirement for designing and implementing of a rootkit dectection system.Many rootkit detection techniques and tools have been unable to meet the current requirement to detect a variety of complex kernel rootkit.Since Xen system supports hardware-assisted virtualization technology,its high privilege and high transparency provide a guarantee for the rootkit detection.Thus,rootkit detection technology based on Xen can effectively detect the presence of rootkit in theory,and it also can get the behavioral information of rootkit which is more underlying and more realistic,and the test results are also given in this paper. To study the rootkit detection technology based on Xen and design the testing program, the main work of this paper is shown here: The main principle and related technology under the Windows Rootkit is studied, as well as the basic principles of informa