题目：基于Windows rootkit的隐秘网络通信技术研究与实现

随着计算机与网络技术的飞速发展和广泛应用，计算机已经成为人们生活及工作中不可或缺的工具。目前，针对计算机和网络系统的攻击越来越多，在众多攻击手段中，利用Rootkit技术进行的攻击，其危害尤为严重。Rootkit是能够持久并且无法检测地存在于计算机上的一组程序和代码，攻击者利用它能够对计算机系统保持最高权限的访问。因此，攻击者可利用Rootkit技术持续控制主机，获取访问权限，以达到窃取机密信息并进行隐秘网络通信的目的。本文主要研究基于Windows rootkit的隐秘网络通信技术。隐秘网络通信技术既是Windows rootkit必须使用到的技术，本身又属于Windows rootkit技术中的一个分支。要想让Windows rootkit的通信能真正躲过杀毒软件或者Anti-Rootkit工具的检测，则隐秘网络通信功能就必须与检测工具在同一层次或更深层次实现，才能达到更好的隐藏性。本文旨在完成一个具有一定实战能力的Windows rootkit（称为Smith Rootkit）的隐秘网络通信子系统。通过对Windows内核网络子系统、国内外著名的个人防火墙和Anti-Rootkit工具的深入分析和研究，本文选择在接近底层的NDIS（Network Driver Interface specifacation）层，使用挂钩技术来实现极具隐秘性的Windows rootkit网络通信子系统。该网络通信子系统包含二大部分：服务端和客户端。服务端又分为七个模块，分别是NDIS挂钩模块、数据包发送模块、数据包拦截模块、进程管理模块、文件目录传输模块、简易TFTP模块和定点隐形模块。客户端通过向服务发送特定的命令，达到完全控制服务端的目的。实验结果表明：Smith Rootkit网络通信子系统能够躲避KIS2009、瑞星个人防火墙2009等主机防火墙的网络监测，能够躲避Wireshark的抓包检测，没有端口，没有连接，不会被冰刃和RKU等Anti-Rootkit工具检测到。因此，Smith Rootkit不仅完整地实现了信息获取和网络通信等功能，而且也完全达到了隐藏自身和隐秘通信的要求。