首页> 正文

Windows Nt6.x安全特性下的Rootkit研究

2020-12-10阅读(923)

Windows Nt6.x安全特性下的Rootkit研究

论文摘要

随着互联网的高速发展,网络的安全问题变得日益突出。操作系统是系统安全领域攻防激烈对抗的主战场,新发布的操作系统不断地增强自身的安全防护,与此同时,恶意程序也在研究新操作系统的脆弱性,进而加以利用,实现攻击目的。通常,Rootkit是指一类特洛伊木马后门工具,通过修改现有的操作系统软件,使攻击者获得访问权限并隐藏在计算机中。Rootkit技术自身并不具备恶意特性,一些具有高级特性的软件比如反病毒软件也会使用一些Rootkit技术来使自己处在系统的最底层,进而可以发现更多的恶意攻击。然而Rootkit技术一旦被木马病毒等恶意程序利用,就具有恶意特性。微软公司发布的Windows系列操作系统,Windows XP是最热门和最普及的操作系统,但同时也是恶意程序最主要的攻击对象。在新发布的Windows NT6.x系列操作系统中,引入了一些安全特性,比如用户账户控制、驱动数字签名、内核保护补丁等技术,使得恶意软件的一些攻击手段失效,但同时一些新的攻击手段也应运而生。本课题的研究内容是分析Windows NT6.x平台的新安全机制下传统Rootkit的生存状况,以及新型Rootkit技术,提出了基于Windows NT6.x平台的检测新方法。本文首先分析了目前恶意软件的现状,详细介绍了Windows NT6.x下的安全机制,分析了传统Rootkit的原理及其在新的安全机制下的生存现状,剖析了几款目前NT6.x平台上比较流行的新型Rootkit。最后,本文设计实现了一个Windows NT6.x下的Rootkit检测工具,给出了系统设计方案及关键模块的实现技术。本文对该检测工具进行了一系列的单元测试和模块测试。测试表明该工具能够检测Windows NT6.x平台上比较流行的Rootkit,还具有比XurTr等Rootkit检测工具更好的稳定性和检测特殊Rootkit的能力。

论文目录

  • 摘要
  • Abstract
  • 第1章 绪论
  • 1.1 研究背景和研究意义
  • 1.1.1 研究背景
  • 1.1.2 研究意义
  • 1.2 研究现状
  • 1.2.1 Rootkit隐藏技术的研究现状
  • 1.2.2 Rootkit检测技术的研究现状
  • 1.2.3 现有研究不足
  • 1.3 主要工作和论文结构
  • 1.3.1 论文工作
  • 1.3.2 论文创新点
  • 1.3.3 论文结构
  • 第2章 Windows NT6.x的安全机制
  • 2.1 用户界面特权隔离
  • 2.1.1 用户界面特权隔离概述
  • 2.1.2 用户界面特权隔离的工作原理
  • 2.1.3 用户界面特权隔离的脆弱性分析
  • 2.2 强制驱动签名
  • 2.2.1 强制驱动签名概述
  • 2.2.2 驱动签名和验证的工作原理
  • 2.2.3 强制驱动签名的脆弱性分析
  • 2.3 内核补丁保护
  • 2.3.1 内核补丁保护概述
  • 2.3.2 内核补丁保护的工作原理
  • 2.3.3 内核补丁保护的脆弱性分析
  • 2.4 用户账户控制
  • 2.4.1 用户账户控制概述
  • 2.4.2 用户账户控制的工作原理
  • 2.4.3 用户账户控制的脆弱性分析
  • 2.5 地址空间分配随机化技术
  • 2.5.1 地址空间分配随机化技术概述
  • 2.5.2 地址空间分配随机化技术的工作原理
  • 2.5.3 地址空间分配随机化技术的脆弱性分析
  • 2.6 NT6.x其它安全特性
  • 2.7 本章小结
  • 第3章 Windows NT6.x Rootkit的原理和检测技术
  • 3.1 用户模式Rootkit
  • 3.1.1 DLL注入
  • 3.1.2 IAT挂钩
  • 3.1.3 detour补丁
  • 3.2 内核模式Rootkit
  • 3.2.1 Object挂钩
  • 3.2.2 SSDT挂钩
  • 3.2.3 SSDT Shadow挂钩
  • 3.2.4 Inline挂钩
  • 3.2.5 IDT挂钩
  • 3.2.6 IRP挂钩
  • 3.2.7 系统调用挂钩
  • 3.2.8 IAT挂钩
  • 3.2.9 EAT挂钩
  • 3.2.10 DKOM技术
  • 3.2.11 过滤驱动Rootkit
  • 3.3 本章小结
  • 第4章 Windows NT6.x新型Rootkit
  • 4.1 Windows NT6.x Bootable Rootkit
  • 4.1.1 vBootkit
  • 4.1.2 Stoned Bootkit
  • 4.2 Vista系统还原Rootkit
  • 4.3 TDSS Rootkit
  • 4.4 本章小结
  • 第5章 Windows NT6.x Rootkit检测平台的设计与实现
  • 5.1 总体设计方案
  • 5.2 模块设计
  • 5.2.1 隐藏进程子模块
  • 5.2.2 隐藏服务模块
  • 5.2.3 隐藏端口检测模块
  • 5.2.4 SSDT挂钩检测模块
  • 5.2.5 SSDT Shadow挂钩检测模块
  • 5.2.6 IDT挂钩检测模块
  • 5.2.7 NT6.x新型Rootkit检测模块
  • 5.3 本章小结
  • 第6章 测试与结果分析
  • 6.1 实验测试环境
  • 6.2 实验恶意软件样本的来源
  • 6.3 单元测试
  • 6.4 模块测试
  • 6.4.1 新型Rootkit的检测效果
  • 6.4.2 隐藏进程子模块检测效果
  • 6.4.3 隐藏服务模块检测效果
  • 6.4.4 隐藏内核子模块检测效果
  • 6.4.5 消息挂钩的检测效果
  • 6.4.6 SSDT挂钩的检测效果
  • 6.4.7 SSDT Shadow挂钩的检测效果
  • 6.4.8 IDT挂钩的检测效果
  • 6.4.9 Object挂钩的效果
  • 6.5 与其它Rootkit工具进行对比
  • 6.6 系统测试的结果分析
  • 6.7 本章小结
  • 第7章 结论与展望
  • 参考文献
  • 在读期间发表的学术论文及研究成果
  • 致谢

    • 相关论文文献

    • [1].铲除潜伏在系统中的Rootkit病毒[J]. 网络安全和信息化 2019(12)
    • [2].Rootkit攻防机制与实现方法[J]. 电信科学 2018(12)
    • [3].Rootkit隐藏技术分析[J]. 北京电子科技学院学报 2016(02)
    • [4].一种基于硬件虚拟化的Rootkit技术[J]. 现代计算机(专业版) 2017(05)
    • [5].虚拟化环境中基于神经网络专家系统的Rootkit检测方法研究[J]. 计算机科学 2015(08)
    • [6].Rootkit研究综述[J]. 电子科技大学学报 2015(04)
    • [7].一种防范Rootkit入侵的内核模块加载机制[J]. 软件导刊 2015(06)
    • [8].基于Rootkit技术的手机安全浅析[J]. 通信与信息技术 2012(01)
    • [9].Rootkit隐藏技术与检测方法研究[J]. 小型微型计算机系统 2012(05)
    • [10].基于虚拟机的Rootkit检测系统[J]. 计算机技术与发展 2012(07)
    • [11].恶意Rootkit工具清理要诀[J]. 网络与信息 2011(03)
    • [12].基于自适应学习的Rootkit检测模型[J]. 计算机应用与软件 2011(08)
    • [13].基于Rootkit技术的终端安全防护研究[J]. 计算机安全 2011(11)
    • [14].Windows Rootkit进程隐藏与检测技术[J]. 计算机工程 2010(05)
    • [15].一种硬件虚拟化技术的Rootkit及其检测[J]. 西安科技大学学报 2010(01)
    • [16].一种新型的基于多种方法的Rootkit检测方案[J]. 农业网络信息 2010(06)
    • [17].基于文件系统过滤驱动的内核Rootkit隐藏技术[J]. 吉首大学学报(自然科学版) 2010(03)
    • [18].Rootkit的检测与取证分析[J]. 信息网络安全 2010(11)
    • [19].Rootkit木马隐藏技术分析与检测技术综述[J]. 信息安全与通信保密 2010(11)
    • [20].解密攻击者藏匿行踪的暗器:Rootkit[J]. 微电脑世界 2009(01)
    • [21].一种双重防范Rootkit的方法[J]. 计算机与现代化 2009(02)
    • [22].Windows Rootkit隐藏技术与综合检测方法[J]. 计算机工程 2009(10)
    • [23].Windows Rootkit分析与检测综合方法[J]. 信息化纵横 2009(12)
    • [24].Windows Rootkit病毒进化与检测[J]. 信息网络安全 2009(09)
    • [25].蜜网系统在检测新型Rootkit中的应用[J]. 计算机技术与发展 2008(01)
    • [26].Windows Rootkit隐藏技术研究[J]. 计算机工程 2008(12)
    • [27].永久型Windows Rootkit检测技术[J]. 计算机工程 2008(18)
    • [28].Rootkit特征与检测[J]. 网络安全技术与应用 2008(11)
    • [29].Rootkit:攻击者藏匿行踪的暗器[J]. 互联网天地 2008(10)
    • [30].面向异构BIOS环境的Rootkit通用性检测方法[J]. 计算机工程与应用 2019(23)

    标签:;  ;  ;  

    Windows Nt6.x安全特性下的Rootkit研究
    下载Doc文档

    猜你喜欢

    © 2024 毕速过 版权所有 鄂ICP备12018319号-5