基于Windows平台的Rootkit技术研究与应用-通信与信息系统专业论文.docxVIP

上海交通大学工学硕士学位论文 上海交通大学工学硕士学位论文 PAGE PAGE 3 变管理员口令，打系统补丁，改变系统配置等。攻击者仍然可以进入系统。 （3）隐藏攻击痕迹：隐藏与 Rootkit 相关的文件、进程、通信链接和系统日 志等攻击痕迹。 （4）欺骗检测工具：使检测工具无法发现系统的异常，无法找到隐蔽在系 统中的 Rootkit 软件。 （5）提供植入手段：其它可执行程序，例如蠕虫或病毒可以通过 Rootkit 提供的隐蔽通道植入系统，并且可以使用 Rootkit 来隐藏自身。 （6）提供攻击跳板：攻击者可以利用受控主机对网络上的其它主机发动攻 击，例如蠕虫传播、拒绝服务攻击等。 Rootkit 类型 按照运行时的环境不同，Windows Rootkit 分为两类：内核模式 Rootkit 和用 户模式 Rootkit。内核模式 Rootkit 驻留在内核态中，以内核驱动程序的方式存在 于操作系统中；用户模式 Rootkit 则运行在权限较低的用户态中。这些用户模式 Rootkit 的目标是普通的用户程序而不是系统，所以不需要工作在具有高权限的 内核态中，但它们同样也会拦截某些系统调用，更改操作系统的行为。 用户级 Rootkit 在用户模式下运行的 Windows Rootkit 的钩子（hook）不象内核模式那样是 全局的，因此必须在每个进程中运行一次 Windows Rootkit，然后才能拦截到所 有希望截获的系统调用。 用户模式 Rootkit 修改或替换那些限制使用 API（应用程序编程接口）来访 问系统资源的二进制文件。典型的例子是修改过的 netstat.exe 文件，它不再显示 攻击者指定的特殊端口（如攻击者用来入侵的端口）。为了从合法用户那里隐藏 行踪，用户模式 Rootkit 中常常包含许多修改过的系统可执行文件，以及一些给 攻击者提供了很多特殊功能的程序文件。 内核级 Rootkit 在大多数情况下，内核模式 Rootkit 只是简单地改写系统描述符表（SDT, Service Descriptor Table），用它们自己的函数替换原始的 API。对于一个普通的 Windows 系统，它们根本不用担心这种替换的持续性，因为一旦挂钩成功，所有 进程随后的调用都将被截获下来。 内核模式 Rootkit 通过修补操作系统内核来深入到操作系统内核层进行欺 骗。它们在系统中安装一些允许恶意软件直接访问系统内核资源的驱动程序，从 而操纵或替换系统函数。有些内核模式 Rootkit 可能会十分复杂，它们至少可以 绕过现有工具的检测，内核模式 Rootkit 是当前 Windows Rootkit 研究的焦点。 与用户级 Rootkit 相比，内核级 Rootkit 的破坏性更大，并且能够逃避任何应 用层下的检测工具。 1.5 论文的组织结构 第一章是绪论，介绍了 Rootkit 的定义与发展历史，同时描述了 Rootkit 的主 要功能以及它的两大分类：用户级和内核级 Rootkit 技术的特点与区别。 第二章分别介绍了用户级和内核级 Rootkit 技术的相关原理，这些技术是理 解和实现 Rootkit 的基础，无论是 Rootkit 技术还是 Anti-Rootkit 技术都需要这些 原理的支撑。 第三章探讨了用户级和内核级 Rootkit 的核心技术，包括各类表的挂钩、API 函数和内核函数改写等，分析了各项核心技术的特点。良好的掌握这些技术是全 面理解 Rootkit 的关键所在。 第四章研究了 Rootkit 检测技术的两大分类，基于行为和基于视图的 Rootkit 检测技术，针对每个分类对于实现的检测方法进行了较为详细的分析。 第五章介绍了以编程的方式通过 SSDT 表挂钩实现了对于进程、文件、网络 端口和注册表键的隐藏。另外，还给出了几种有效规避主动防御软件监控的技术 手段。 第六章是结束语，总结了本文的研究成果，并展望后续工作。 第二章 Rootkit 技术原理 本章分别介绍了用户级 Rootkit 技术和内核级 Rootkit 技术相关的技术原理， 了解这些原理是理解与应用 Rootkit 核心技术的前提和准备工作，这些原理包括 用户级 Rootkit 技术原理、实时进程数据注入技术和内核级 Rootkit 技术原理、构 建 Windows 设备驱动程序等。 用户级 Rootkit 技术原理 本节介绍用户级 Rootkit 技术的相关原理，首先介绍了 DLL 基础，它是扩展 应用程序功能的有效方式，用户级 Rootkit 一般将自己的功能代码通过 DLL 方式 载入需要挂钩的目标进程中进行运作，而如何将自己的代码载入目标进程中则需 要利用实时进程数据注入技术。此外，本节还介绍了一个