论文部分内容阅读
随着计算机网络的飞速发展,网络渗透,敏感信息盗取等攻击行为每天都发生在我们的身边。信息安全的矛与盾,攻击与防御技术总是互相促进的。Rootkit技术是攻击者用来保持对系统的持续控制权并且隐蔽攻击行为与后门程序痕迹的一种技术。Rootkit软件最早被应用于UNIX系统中,随后逐渐发展到其它的操作系统平台,其中,针对Win32平台下的Rootkit技术得到了广泛的关注和研究。Rootkit技术是一种黑客攻击技术,而为了能够更好的防御Rootkit技术的攻击,首先就必须对Rootkit技术有一定研究。根据对操作系统入侵的层次,可以分为应用级Rootkit和内核级Rootkit。比较而言,应用级Rootkit仅仅工作在操作系统的应用层,而内核级Rootkit直接攻击操作系统的内核,因此危害更大,功能更强大,更难以检测。本课题的研究重点是Windows系统平台下内核级Rootkit技术及其检测方法。本文首先叙述了Win32系列操作系统的基本架构以及与Rootkit技术相关的内核原理,在此基础上,提出了几种内核Rootkit攻击技术,包括挂钩SSDT表、过滤驱动技术、内核对象修改,对每种技术的原理进行详细阐述并且给出了实现过程。同时针对这些重要的Rootkit实现技术,研究了现存的各种Windows Rootkit检测方法,对这些方法进行了详细的阐述并给出了实现。利用这些实现技术,分析并检测了目前著名的Windows Rootkit。然后对检测情况做了简要的评述,指出现在检测方法的缺陷以及需要改进的地方。最后针对最新Rootkit发展的趋势,研究和分析了Bootkit的实现机制和系统原理,并在此基础上给出了初步的检测方法,这为下一步的研究方向打下了基础。