● 摘要
随着计算机和网络技术的突飞猛进,针对计算机和网络的攻击层出不穷,攻防双方都在潜心研究新的方法和技术,以求占据技术制高点。Rootkit技术是一把双刃剑,攻方可以利用它来攻克一些“顽固的堡垒”,同时守方也可以用它来铸造安全防线。攻防双方在此领域的争夺越来越激烈,因而使得Rootkit技术得到了日新月异的发展,并已成为信息安全领域的重要研究热点。 Rootkit是能够持久并且无法检测地存在于计算机上的一组程序和代码, 攻击者可利用它保持对计算机系统的最高权限的访问,以便进一步收集信息。因为Windows系统的广泛使用,对Rootkit技术的研究主要聚焦于Windows Rootkit,Rootkit一般可分为内核级Rootkit和用户级Rootkit,而内核级Rootkit一般比用户级Rootkit功能强大,所以本文研究的是Windows 内核级Rootkit技术。当前的Windows 内核级Rootkit隐藏技术主要分为两类:DKOM技术和修改内核程序执行路径技术。Rootkit信息获取技术主要包括外存数据信息获取、键盘信息获取等。 本文在系统分析和深入研究传统内核级Rootkit隐藏技术的基础上,给出了一套集驱动模块整体移位、内核线程注入、IRP深度内联Hook、磁盘碎片数据隐藏四种技术为一体的Rootkit隐藏方法。驱动模块整体移位技术能够用来隐藏加载的Rootkit系统的驱动;内核线程注入技术将Rootkit的功能在线程中实现,使Rootkit做到无进程;IRP深度内联Hook技术改进了IRP Hook技术,使Anti-Rootkit工具不能检测到钩子的存在; 磁盘碎片数据隐藏技术能对一些敏感的数据信息做彻底的隐藏。 根据本文所给出的四位一体的Rootkit隐藏方法,设计和实现了一个基于Windows内核级Rootkit技术的信息隐秘获取系统。实验结果显示,基于该套隐藏方法所实现的Rootkit能够很好的躲避专业的Anti-Rootkit工具(如Rootkit Unhooker和冰刃)的检测,充分表明了这套Rootkit隐藏方法的有效性。
相关内容
相关标签