Windows下Rootkit啟動(dòng)技術(shù)的研究與應(yīng)用.pdf

1、隨著計(jì)算機(jī)技術(shù)的高速發(fā)展，遠(yuǎn)程控制，網(wǎng)絡(luò)竊密等攻擊行為每天都發(fā)生在我們身邊。作為信息安全技術(shù)的矛與盾，攻擊與防御技術(shù)總是相輔相成的。Rootkit技術(shù)是攻擊者用來(lái)保持對(duì)所控系統(tǒng)的持續(xù)控制權(quán)并且隱蔽攻擊行為與后門(mén)程序痕跡的一種技術(shù)。Rootkit最早被應(yīng)用于UNIX下，隨后逐漸發(fā)展到其他的操作系統(tǒng)平臺(tái)，其中針對(duì)windows平臺(tái)下的Rootkit技術(shù)得到了關(guān)注和研究。Rootkit技術(shù)是一種黑客攻擊技術(shù)，而為了能夠更好的防御Rootkit

2、技術(shù)，就必須對(duì)Rootkit技術(shù)有一定的研究。
　　 根據(jù)對(duì)Rootkit的功能模塊來(lái)分，Rootkit一般包括啟動(dòng)，隱藏，數(shù)據(jù)傳輸，cmdshell，鍵盤(pán)記錄等多個(gè)模塊。而在這些功能模塊中啟動(dòng)模塊的技術(shù)是最復(fù)雜多樣的，也是最關(guān)鍵的。本課題重點(diǎn)研究Win32下Rootkit的啟動(dòng)技術(shù)，以便對(duì)殺毒軟件的主動(dòng)防御技術(shù)提供更多的幫助。
　　 本文首先敘述win32系列系統(tǒng)的基本架構(gòu)以及Rootkit啟動(dòng)技術(shù)的一些原理，再此基礎(chǔ)

3、上提出幾種新的Rootkit啟動(dòng)技術(shù)，包括NtBootdd. sys內(nèi)核劫持，svchost宿主啟動(dòng)，winlogon事件通知包，隱藏服務(wù)，系統(tǒng)文件感染，D11劫持，Bits后門(mén)技術(shù)，并對(duì)每種技術(shù)的原理進(jìn)行詳細(xì)的闡述并且給出了實(shí)現(xiàn)過(guò)程。特別針對(duì)一些特殊的環(huán)境，如低權(quán)限用戶(hù)下植入Rootkit給出了創(chuàng)新的解決方案，最后針對(duì)新的系統(tǒng)環(huán)境Windows Vista操作系統(tǒng)下Rootkit面臨的問(wèn)題，給出了一些對(duì)抗策略與研究方向。本文描述的Ro