基于Windows平台的Rootkit技术研究与应用

论文摘要

随着信息网络技术的高速发展,人们越来越离不开计算机和网络的帮助,人们通过计算机储存很多重要信息,由此而来的计算机网络渗透、敏感信息窃取事件时有发生。Rootkit是一项操作系统底层技术,能够持续获得系统特权,同时通过破坏传统操作系统的功能或其他应用来隐藏它的存在。Rootkit技术最先被发明应用于UNIX系统中,随后逐步发展到其他操作系统平台上。目前针对Windows平台下的Rootkit技术得到了广泛的关注和研究。作为信息安全的攻击方与防御方,安全软件与恶意软件都在使用不同层次的Rootkit技术进行信息的窃取与防护。Rootkit技术也是一项可以被黑客利用来进行攻击的技术,然而只有对于这类攻击技术有着很好的了解,才能进一步研究如何对这种技术进行检测与防御。根据对操作系统入侵的层次,可以分为用户级Rootkit和内核级Rootkit。比较而言,用户级Rootkit工作在操作系统的应用层,具有轻便、通用性强的优点;而内核级Rootkit直接攻击操作系统的内核,危害更大,功能更强大,更难以检测,不过其工作需要环0权限,且兼容性较差。本文首先叙述了Rootkit技术的相关原理,包括用户级与内核级的原理,在此基础上,提出了Rootkit攻击的核心技术,包括挂钩SSDT表、挂钩IAT表、inline hook、过滤驱动技术等技术,对每种技术的原理进行详细阐述并且给出了实现过程。在接着的章节中,研究了Windows Rootkit检测的两大类方法,基于行为与基于交叉视图的检测方法,对这些方法进行了详细地探讨并给出了实现,同时给出了对于各检测技术的评价。最后,通过实验的方法实现了对于SSDT表挂钩的应用。另外,论文还给出了能有效规避主动防御软件的几种技术手段。

论文目录

摘要

ABSTRACT

第一章绪论

1.1 Rootkit 简介

1.2 Rootkit 发展历史

1.3 Rootkit 的主要功能

1.4 Rootkit 类型

1.4.1 用户级Rootkit

1.4.2 内核级Rootkit

1.5 论文的组织结构

第二章 Rootkit 技术原理

2.1 用户级Rootkit 技术原理

2.1.1 DLL 基础

2.1.2 函数指针

2.1.3 实时进程数据注入技术

2.2 内核级Rootkit 技术原理

2.2.1 各类重要系统表

2.2.2 PE 结构

2.2.3 链表结构和相关函数

2.2.4 构建Windows 设备驱动程序

2.3 本章小结

第三章 Rootkit 核心技术

3.1 用户级Rootkit 核心技术

3.1.1 导出地址表重定向

3.1.2 导入地址表重定向

3.1.3 改写API 代码

3.2 内核级Rootkit 核心技术

3.2.1 IDT 表挂钩

3.2.2 SSDT 表挂钩

3.2.3 inline hook

3.2.4 过滤驱动技术

3.2.5 修改内核对象技术

3.3 本章小结

第四章 Rootkit 检测技术

4.1 基于行为的Rootkit 检测技术

4.1.1 检测IAT 钩子

4.1.2 检测SSDT 钩子

4.1.3 检测内联钩子

4.1.4 检测IRP 处理程序钩子

4.2 基于交叉视图的Rootkit 检测技术

4.2.1 Klister 技术

4.2.2 挂钩Swap Context 技术

4.2.3 遍历句柄表技术

4.2.4 直接内存搜索技术

4.3 本章小结

第五章基于SSDT 挂钩的Rootkit 应用

5.1 SSDT 挂钩中的重要环节

STRING 结构'>5.1.1 UNICODE_STRING 结构

5.1.2 挂钩的查询类函数

5.1.3 关于SSDT 表的细节

5.2 功能隐藏的具体实现

5.2.1 进程隐藏

5.2.2 文件隐藏

5.2.3 端口隐藏

5.2.4 注册表键隐藏

5.3 规避主动防御技术

5.3.1 Windows 命令方法

5.3.2 替换执行方式

5.3.3 规避云查杀

5.4 本章小结

第六章结束语

6.1 全文总结

6.2 研究展望

参考文献

致谢

攻读学位期间发表的学术论文

攻读学位期间参与的科研项目

基于Windows平台的Rootkit技术研究与应用

论文摘要

论文目录

相关论文文献

猜你喜欢