基于LINUX環(huán)境木馬檢測技術的的研究.pdf

1、近年來Linux系統(tǒng)在服務器領域的占有率一路攀升，尤其是在云計算領域。但是由于源代碼開放，Linux面臨著日趨嚴峻的安全挑戰(zhàn)。Linux環(huán)境下的內(nèi)核級Rootkit類型木馬擁有與操作系統(tǒng)內(nèi)核相同的權限，能夠修改系統(tǒng)中任何數(shù)據(jù)與代碼，成為了隱藏性極高、檢測難度極大的一類惡意木馬軟件，對Linux系統(tǒng)安全構成了非常嚴重的威脅，研究Linux環(huán)境下內(nèi)核級Rootkit類型木馬的檢測技術具有非常重要的意義。QEMU虛擬化技術能夠支持硬件虛擬化和

2、具有高于客戶機操作系統(tǒng)內(nèi)核級別的權限以及對客戶機系統(tǒng)的隔離性，為內(nèi)核級Rootkit類型木馬檢測技術的實現(xiàn)提供了可信保證。因此，在理論上利用QEMU技術的Rootkit的檢測技術能夠有效的檢測出內(nèi)核級Rootkit類型木馬。
　　本研究主要內(nèi)容包括：⑴對相關技術進行論述，包括 Linux內(nèi)核結構與相關特性、Rootkit的特征與危害、Linux環(huán)境下Rootkit核心技術以及QEMU虛擬化技術和虛擬機檢測技術。⑵從總體目標、需求和

3、原則三個方面，再針對傳統(tǒng)的檢測模型和現(xiàn)有的虛擬機檢測模型進行分析比較，提出了一種改進的虛擬機檢測模型，并在此模型上設計出基于QEMU檢測Rootkit工具的總體框架。最后在此框架下衍生拓展出兩個檢測插件：靜態(tài)內(nèi)存分析插件和動態(tài)識別進程插件。⑶分析QEMU內(nèi)存虛擬化技術，從 dump虛擬機內(nèi)存與分析內(nèi)存信息兩個方面，設計并實現(xiàn)了靜態(tài)內(nèi)存分析插件。⑷分析QEMU動態(tài)翻譯技術，從動態(tài)捕獲進程和提取進程信息兩個方面，設計并實現(xiàn)了動態(tài)識別進程插件