基于硬件虚拟技术的Rootkit检测技术研究

论文摘要

近年来使用Rootkit技术的恶意代码严重威胁了计算机的安全,所使用的Rootkit技术不仅更加复杂,而且隐蔽性更强。相应的,Rootkit检测技术也不断的发展,但在通用性和自保护方面存在不足。针对这种情况,本文以Intel VT-x硬件虚拟技术为基础,设计并实现了一个Rootkit检测系统,该系统可以对运行在硬件虚拟机中的目标操作系统进行Rootkit检测并提供对主机的保护。本文首先研究了当前的Rootkit技术,详细分析了不同类型Rootkit的实现原理和执行流程。然后分析了当前的Rootkit检测技术,对其检测内容和检测原理进行了深入的研究,阐述了现有检测技术的不足之处。接下来分析了传统的虚拟技术的特点和不足,阐述了虚拟化和硬件虚拟化的条件,对Intel VT-x技术进行了深入的分析。根据VT-x技术的特点和对Rootkit检测的需要,本文将基于硬件虚拟技术的Rootkit检测系统分为硬件虚拟机模块、检测和保护模块以及日志显示模块。硬件虚拟机模块负责提供目标操作系统运行的虚拟环境,引导目标操作系统的启动。检测和保护模块对目标操作系统进行检测和保护。两个模块都集成于VMM中,以高于目标操作系统特权等级的VMX Root模式运行,保证了检测的效果。日志显示模块通过主动产生VM Exit获取日志信息并在目标操作系统中显示。本文对检测系统的安全性进行了分析,指出本系统具备自保护的功能。本文对检测系统进行了测试,测试主要包括功能性测试、性能测试和兼容性测试。测试结果表明该系统达到了预期设计的要求。最后,本文总结了全文的工作,对基于硬件虚拟技术的Rootkit检测技术提出了展望。

论文目录

摘要

ABSTRACT

第一章绪论

1.1 背景和意义

1.2 国内外研究现状

1.2.1 硬件虚拟技术研究现状

1.2.2 基于虚拟技术的Rootkit检测技术研究现状

1.3 研究内容和成果

1.4 论文的结构安排

第二章 Rootkit技术及检测技术分析

2.1 互联网存在的安全威胁

2.2 Rootkit技术分析

2.2.1 Rootkit技术概述

2.2.2 Rootkit技术的分类

2.2.3 新型Rootkit技术分析

2.3 Rootkit检测技术分析

2.3.1 Rootkit检测技术概述

2.3.2 Rootkit检测技术分类

2.3.3 现有检测技术优缺点分析

2.4 本章小结

第三章虚拟技术分析

3.1 传统虚拟技术分析

3.1.1 虚拟技术概述

3.1.2 虚拟技术使用平台的发展

3.1.3 虚拟技术的分类

3.1.4 软件虚拟技术的不足

3.2 Intel硬件虚拟技术

3.2.1 硬件虚拟化条件

3.2.2 现有X86 架构虚拟技术存在的问题

3.2.3 Intel VT技术分析

3.3 基于虚拟技术的Rootkit检测技术

3.4 本章小结

第四章基于硬件虚拟技术的Rootkit检测系统的设计

4.1 整体设计

4.1.1 设计目标

4.1.2 设计原则

4.1.3 系统运行环境

4.1.4 检测系统的整体框架

4.2 硬件虚拟机模块的设计

4.2.1 硬件虚拟机启动方式

4.2.2 硬件虚拟机的初始化

4.2.3 硬件虚拟机的运行

4.2.4 目标操作系统的迁移

4.3 检测和保护模块的设计

4.3.1 如何集成检测和保护模块

4.3.2 检测和保护内容的选择

4.3.3 检测强度和系统性能的平衡

4.4 日志显示模块的设计

4.5 本章小结

第五章基于硬件虚拟技术的Rootkit检测系统的实现

5.1 硬件虚拟机模块的实现

5.1.1 硬件虚拟机模块的启动

5.1.2 硬件虚拟机模块的初始化

5.1.3 启动目标操作系统

5.1.4 硬件虚拟机运行后对VM Exit的处理

5.1.5 硬件虚拟机的关闭

5.2 检测和保护模块的实现

5.2.1 集成检测和保护模块

5.2.2 检测和保护的实现

5.3 日志显示模块的实现

5.4 安全性分析

5.4.1 Intel VT技术的安全性

5.4.2 检测系统的安全性

5.5 本章小结

第六章系统测试与分析

6.1 测试目的

6.2 测试环境

6.3 测试内容

6.3.1 功能测试

6.3.2 性能测试

6.3.3 兼容性测试

6.4 本章小结

结束语

参考文献

作者简历攻读硕士学位期间完成的主要工作

致谢

基于硬件虚拟技术的Rootkit检测技术研究

论文摘要

论文目录

相关论文文献

猜你喜欢