Windows Rootkit实现及其检测技术分析 .pdfVIP

WindowsRootkit实现及其检测技术分析

【摘要】Rootkit是恶意软件用于隐藏自身及其它特定资源和活动的程序集

合。本文针对windowsRootkit的启动方式，将Rootkit归为先于操作系统启动和

伴随操作系统启动两类，详细分析了这两类windowsRootkit的启动方式、实现

原理及隐藏技术，并对现有的检测方法的原理进行了深入的分析。

【关键词】Rootkit；宿主进程；BIOSRootkit；MBRBootkit

1.介绍

Rootkit[1]最早出现于Unix系统中，随着计算机技术的发展，现在多种操作

系统平台中都出现了Rootkit。现在的研究表明恶意代码的Rootkit技术化趋势非

常明显，Rootkit越来越多地出现在Windows操作系统中用于获取敏感信息、实

现目标控制。Rootkit使用的技术通常比较高深和复杂，常规检测工具和查杀软

件一般难以将其检测出，鉴于其日益增强的危害性，有必要对Rootkit实现的原

理进行分析，对现有的检测技术进行深入的分析。

本文依据windowsRootkit的启动方式，将windowsRootkit归为先于操作系

统启动和伴随操作系统启动两类，详细分析了其启动方式、隐藏技术和实现原理，

并对现有的检测技术的原理进行了深入的分析。

本文组织如下：第二部分介绍windowsRootkit的启动方式、实现原理及隐

藏技术；第三部分介绍现有的windowsRootkit检测技术的原理；第四部分综合

检测方法及总结。

2.windowsRootkit的实现原理

依照windowsRootkit的启动实现方式，我们将windowsRootkit分为先于操

作系统启动和伴随操作系统启动两类，在伴随操作系统启动的Rootkit中，深入

分析内核劫持、svchost宿主启动、winlogon事件通知、系统文件感染、DLL劫

持实现的原理和方法，在先于widnows操作系统启动的Rootkit中，详细分析基

于BIOS（BasicInput/OutputSystem）的Rootkit和基于MBR（MasterBootRecord）

的Rootkit。

2.1伴随widnows启动的Rootkit

windows操作系统引导过程可以分为预引导阶段、引导和载入内核阶段、内

核初始化阶段、以及登录阶段，在这个过程中提供给应用程序启动的扩展接口，

包括系统服务、常用注册表启动项、IE的BHO，winsock2的SPI，驱动程序，

甚至是普通的启动文件夹都可以作为Rootkit的加载方式，图1显示sysinternals

提供的autoruns显示widnows提供的启动项。

2.1.1NtBootdd.sys内核劫持

利用Boot.ini文件中的特殊选项scsi来实现内核的劫持，当windows通过

NRLDR中的OSLoader在读入boot.ini到其数据段的一段缓存并确定了启动条目

后，会检查该条目的前5个字符（windows支持mutil，scsi，signature），如果是

scsi，就会调用名为AEInitializeIo（）的函数，该函数会调用BlLoadImage函数

加载根目录下的NtBootdd.sys到内存中，然后使用BlAllocateDataTableEntry函

数为该模块分配一个名为“NTBOOTDD.SYS”的Data-TableEntry，接着它会扫描

OSLoader的引入表，将NtBootdd.sys所引出的ScsiPort读写函数绑定到OSLoader

的引入表中，然后会调用NtBootdd.sys的入口点，以便NtBootdd.sys完成本身的

初始化工作，如果初始化返回胜利，则继续进行名为HardDiskInitialize的函数，

让以后的磁盘读写操作都通过NtBootdd.sys来实现，若返回失败，则停止

AEInitializeIo函数，继续正常的引导进程。因此实现NtBootdd.sys的劫持来启动

Rootkit采用如下方法[2]：

（1）不导出任何函数，这样就不会影响OSLoader的引入表。

（2）在初始化函数中完成相干的钩子例程及处置例程，然后返回失败，让

系统仍然使用INT0×13来读写