針對(duì)Windows RootKit的安全監(jiān)測(cè)系統(tǒng)的研究與實(shí)現(xiàn).pdf

1、RootKit是攻擊者在入侵系統(tǒng)后為了保持對(duì)系統(tǒng)的超級(jí)用戶訪問權(quán)限，創(chuàng)建后門和隱藏攻擊痕跡而常采用的一種技術(shù)。RootKit存在于Linux，Solaris和Windows等各種操作系統(tǒng)上。由于Windows操作系統(tǒng)在我們生活中的廣泛應(yīng)用(個(gè)人、企業(yè)乃至于政府)，使得其變成了RootKit攻擊的重要目標(biāo)。 根據(jù)對(duì)操作系統(tǒng)入侵的實(shí)現(xiàn)層次的不同，RootKit分為用戶模式RootKit和內(nèi)核模式RootKit兩種類型。用戶模式Roo

2、tKit在操作系統(tǒng)用戶空間修改系統(tǒng)文件或二進(jìn)制數(shù)據(jù)。內(nèi)核模式RootKit攻擊操作系統(tǒng)內(nèi)核，與用戶模式RootKit相比功能更強(qiáng)大，更難檢測(cè)。 目前WindowsRootKit的形式與功能“多樣性”的現(xiàn)實(shí)，使得現(xiàn)有的各種針對(duì)性強(qiáng)但功能相對(duì)單一的專用檢測(cè)工具己經(jīng)不能滿足安全的實(shí)際需要。為了切實(shí)的消除WindowsRootKit可能存在的危害，本文從WindowsRootKit安全技術(shù)和安全策略方面出發(fā)，根據(jù)WindowsRootK

3、it安全的實(shí)際，制定“多樣性檢測(cè)”，“監(jiān)控防御”與“自我保護(hù)”相結(jié)合的針對(duì)Windows系統(tǒng)下RootKit的安全策略。本文按照制定的安全策略實(shí)現(xiàn)方案，設(shè)計(jì)了一個(gè)WindowsRootKit的監(jiān)測(cè)系統(tǒng)。相對(duì)于常規(guī)的WindowsRootKit檢測(cè)技術(shù)，監(jiān)測(cè)系統(tǒng)的“多樣性檢測(cè)”解決了普通檢測(cè)技術(shù)單一性的問題，能適應(yīng)WindowsRootKit的多樣性，比較全面的檢測(cè)出各種現(xiàn)有的WindowsRootKit，具有通用性的一面?！氨O(jiān)控防御”技

4、術(shù)以監(jiān)測(cè)系統(tǒng)的主動(dòng)監(jiān)控防御取代了常規(guī)WindowsRootKit安全策略中的被動(dòng)檢測(cè)防御，讓系統(tǒng)安全處于更加主動(dòng)的有利位置。“自我保護(hù)”措施的采用保證了整個(gè)監(jiān)測(cè)系統(tǒng)的健壯性，能有效的保護(hù)自身、抵御RootKit的反攻擊。 本文的研究工作對(duì)WindowsRootKit的安全研究提供了比較完整的基礎(chǔ)知識(shí)，所提出的多樣性檢測(cè)方法，彌補(bǔ)了現(xiàn)有專項(xiàng)檢測(cè)方法的不足，可以有效地檢測(cè)出各種WindowsRootKit。同時(shí)提出的“多樣性檢測(cè)”、