● 摘要
恶意Rootkit是一种潜伏在计算机中的恶意程序,一直都是威胁信息安全的重要问题,尤其是现在信息化的飞速普及,网络应用的不断多元化,因此由恶意Rootkit所造成的直接损失也越来越大,急需一种有效的恶意Rootkit检测分析技术。
传统的恶意Rootkit检测偏重于静态检测辅助以动态检测,对于已知的恶意样本可以进行有效地检测,但是一旦出现新的恶意Rootkit和或者恶意Rootkit对其本身采取了混淆和加密保护,静态检测就显得无能为力了。而对于动态检测,恶意Rootkit往往与同检测系统同层,这样很可能对动态检测的结果带来影响,甚至拥有内核层次的恶意Rootkit可以直接对应用层的检测系统进行攻击。
随着虚拟化技术的引入,虚拟机监视器位于客户机与真实物理硬件之间,形成了客户机对检测系统的绝对透明性,避免了恶意Rootkit可能对检测系统产生的干扰,为恶意Rootkit检测技术带来了新的机会。
本文设计与实现了一个动静态分析结合的基于VMM的恶意Rootkit检测系统的研究原型。整个系统的关键部分包括静态隐藏行为检测模块和动态恶意行为检测模块。两个模块所使用关键的信息均来自VMM所获取的客户机操作系统底层信息,保证了检测对象对于检测系统的透明性。获取的物理信息与真实系统信息存在着巨大的语义鸿沟,本文在对语义鸿沟进行还原后,利用视图对比检测技术对客户机进行隐藏行为静态检测,利用系统调用动态行为检测技术对客户机进行了动态恶意行为检测。文章最后给出了该原型的实验分析结果,结果表明,本方法与传统检测工具相比,恶意Rootkit检出率更高,误检率更低,而且可以给出详尽的行为报告。