论文部分内容阅读
摘要:本文通过Windows RootKit检测技术概况进行了描述,并对国内外最新发展状况进行了分析,对常用的主流检测方法做以介绍和比较,并对下一步基于Windows RootKit检测的技术发展进行浅析。
关键词:Windows RootKit;执行路径检测;Cross-View检测方法
中图分类号:TP316文献标识码:A文章编号:1009-0118(2010)-03-0142-01
一、Windows RootKit检测概述
随着国家的信息化建设,互联网已深入到各行各业中,由于它具有复杂的网络系统结构、海量的信息存储、高带宽的数据传输以及分布式系统环境的广泛应用等特点,因而就为实现在全球范围内高效的共享资源和信息提供了极大的方便。可是由于互联网和操作系统的脆弱性等问题,也使人们在使用这些技术时面临一系列的威胁。近年来各种各样的计算机病毒层出不穷,特洛伊木马、蠕虫病毒、分布式拒绝服务攻击、垃圾邮件等已经成为网络安全领域的重要威胁并在世界各地引起了高度的重视。
在以特洛伊木马为首的间谍软件,对受害者造成的损失尤为严重,这主要原因为特洛伊木马是通过隐蔽性高的远程控制工具获取操作系统以及各人的敏感信息,如果系统管理员不能及时发现,那么由此而引起的损失是不可估计的。随着计算机系统入侵技术的不断发展,新一代针对Windows操作系统的后门控制技术——Windows Rootkit得以不断发展。Windows Rootkit是一种特殊的恶意软件(Malware),该软件的目的在于隐藏自己以及一些其它需要隐藏的信息,实现阻止管理员识别和删除某些恶意软件。也就是说Windows Rootkit可以长期存在于目标主机并且掩盖恶意软件的存在,达到不被检测工具发现。
目前,新的Windows Rootkit技术在恶意软件中的广泛应用,使现有的恶意软件检测防御技术遇到了前所未有的挑战。Windows Rootkit技术可以隐藏指定的恶意软件信息,这些信息包括进程、文件、TCP端口、注册表等,如何发现这些被隐藏的关键信息是计算机信息安全研究所面临的威胁和挑战。
由于Windows Rootkit具有良好的隐蔽性,因此加重了对目标系统的安全威胁。这种威胁的可怕之处是,如果 Windows Rootkit已经运行于目标操作系统中,而系统管理员使用检测工具无法将其检测出来,或者说系统管理员无法知道系统已经被人入侵植入后门软件。在这样隐蔽自身和自身攻击的情况下,很容易控制目标主机,窃取其中的机密信息或是对其进行破坏。这种潜在威胁是对系统管理员的巨大挑战,绝对不能被忽视。
最初的Windows RootKit是运行在操作系统的用户态下,随着近几年的不断发展Windows RootKit已经逐渐走向系统的内核态,这样不仅增加了其运行的隐蔽性,还增加了检测的复杂性,计算机安全公司已经越来越关注针对Windows操作系统的RootKit。研究如何预防、检测和防护RootKit等技术,对提高系统安全,防止机密信息被窃取都有着重要的意义。
二、国内外最新发展状况
在Windows操作平台下,分为用户模式和内核模式,用户模式的RootKit是通过截获API调用,修改返回结果;内核模式下的RootKit不仅能截获内核模式下的本机API,而且还可以通过从内核活动进程列表中删除进程、隐藏系统文件等来防止恶意软件被发现。现在Windows RootKit所使用的技术可以说已经从早期的用户模式向内核模式发展。在用户模式下对Windows RootKit的具体检测方法有系统可执行文件检测、代码区块检测、输入地址表检测,同样对于内核模式下具体的检测方法有IDT挂钩检测、SSDT挂钩检测、IRP表挂钩检测等。
针对以上提出的对于Windows操作平台RootKit的检测方法,可以归类为如下几点:静态表检测、完整性指令跳转分析检测、执行路径检测、交叉观测法、隐藏进程检测等。但是,这些方法的使用各有优缺点。
当前,国内外对于Windows RootKit的发展又有两个新的方向,一个方向就是使用虚拟化硬盘的概念,并且出现了以此概念为基础的新型RootKit—SubVirt、BluePill和Vitriol,但是对于这中新型的RootKit还没出现很有效的检测方法;另一个方向是类似于早期Windows引导型病毒的RootKit,也有人将其称为BootKit,再出现这个概念之后也出现了利用该概念产生的新型RootKit—eEye和VbootKit,这类RootKit主要是针对微软的Vista操作系统而产生的。
目前,很多学者通过研究大多数的RootKit检测方法,实现提高对Windows RootKit发现的成功率,降低发现的误报率,并能够正确标记存在的RootKit,完成防护系统帮助管理员清除系统中可能存在的Windows RootKit,这样将一定程度上为系统提高更好的保护。
参考文献:
[1]陈明奇.2005恶意代码趋势分析[J].网络信息安全,2005(11),6-11.
[2]Chris Ries, InsideWindows Rootkits, Security Research Engineer. May 22,2006.
关键词:Windows RootKit;执行路径检测;Cross-View检测方法
中图分类号:TP316文献标识码:A文章编号:1009-0118(2010)-03-0142-01
一、Windows RootKit检测概述
随着国家的信息化建设,互联网已深入到各行各业中,由于它具有复杂的网络系统结构、海量的信息存储、高带宽的数据传输以及分布式系统环境的广泛应用等特点,因而就为实现在全球范围内高效的共享资源和信息提供了极大的方便。可是由于互联网和操作系统的脆弱性等问题,也使人们在使用这些技术时面临一系列的威胁。近年来各种各样的计算机病毒层出不穷,特洛伊木马、蠕虫病毒、分布式拒绝服务攻击、垃圾邮件等已经成为网络安全领域的重要威胁并在世界各地引起了高度的重视。
在以特洛伊木马为首的间谍软件,对受害者造成的损失尤为严重,这主要原因为特洛伊木马是通过隐蔽性高的远程控制工具获取操作系统以及各人的敏感信息,如果系统管理员不能及时发现,那么由此而引起的损失是不可估计的。随着计算机系统入侵技术的不断发展,新一代针对Windows操作系统的后门控制技术——Windows Rootkit得以不断发展。Windows Rootkit是一种特殊的恶意软件(Malware),该软件的目的在于隐藏自己以及一些其它需要隐藏的信息,实现阻止管理员识别和删除某些恶意软件。也就是说Windows Rootkit可以长期存在于目标主机并且掩盖恶意软件的存在,达到不被检测工具发现。
目前,新的Windows Rootkit技术在恶意软件中的广泛应用,使现有的恶意软件检测防御技术遇到了前所未有的挑战。Windows Rootkit技术可以隐藏指定的恶意软件信息,这些信息包括进程、文件、TCP端口、注册表等,如何发现这些被隐藏的关键信息是计算机信息安全研究所面临的威胁和挑战。
由于Windows Rootkit具有良好的隐蔽性,因此加重了对目标系统的安全威胁。这种威胁的可怕之处是,如果 Windows Rootkit已经运行于目标操作系统中,而系统管理员使用检测工具无法将其检测出来,或者说系统管理员无法知道系统已经被人入侵植入后门软件。在这样隐蔽自身和自身攻击的情况下,很容易控制目标主机,窃取其中的机密信息或是对其进行破坏。这种潜在威胁是对系统管理员的巨大挑战,绝对不能被忽视。
最初的Windows RootKit是运行在操作系统的用户态下,随着近几年的不断发展Windows RootKit已经逐渐走向系统的内核态,这样不仅增加了其运行的隐蔽性,还增加了检测的复杂性,计算机安全公司已经越来越关注针对Windows操作系统的RootKit。研究如何预防、检测和防护RootKit等技术,对提高系统安全,防止机密信息被窃取都有着重要的意义。
二、国内外最新发展状况
在Windows操作平台下,分为用户模式和内核模式,用户模式的RootKit是通过截获API调用,修改返回结果;内核模式下的RootKit不仅能截获内核模式下的本机API,而且还可以通过从内核活动进程列表中删除进程、隐藏系统文件等来防止恶意软件被发现。现在Windows RootKit所使用的技术可以说已经从早期的用户模式向内核模式发展。在用户模式下对Windows RootKit的具体检测方法有系统可执行文件检测、代码区块检测、输入地址表检测,同样对于内核模式下具体的检测方法有IDT挂钩检测、SSDT挂钩检测、IRP表挂钩检测等。
针对以上提出的对于Windows操作平台RootKit的检测方法,可以归类为如下几点:静态表检测、完整性指令跳转分析检测、执行路径检测、交叉观测法、隐藏进程检测等。但是,这些方法的使用各有优缺点。
当前,国内外对于Windows RootKit的发展又有两个新的方向,一个方向就是使用虚拟化硬盘的概念,并且出现了以此概念为基础的新型RootKit—SubVirt、BluePill和Vitriol,但是对于这中新型的RootKit还没出现很有效的检测方法;另一个方向是类似于早期Windows引导型病毒的RootKit,也有人将其称为BootKit,再出现这个概念之后也出现了利用该概念产生的新型RootKit—eEye和VbootKit,这类RootKit主要是针对微软的Vista操作系统而产生的。
目前,很多学者通过研究大多数的RootKit检测方法,实现提高对Windows RootKit发现的成功率,降低发现的误报率,并能够正确标记存在的RootKit,完成防护系统帮助管理员清除系统中可能存在的Windows RootKit,这样将一定程度上为系统提高更好的保护。
参考文献:
[1]陈明奇.2005恶意代码趋势分析[J].网络信息安全,2005(11),6-11.
[2]Chris Ries, InsideWindows Rootkits, Security Research Engineer. May 22,2006.