Windows內(nèi)核模塊安全技術(shù)的研究與實現(xiàn).pdf

1、隨著計算機的迅速深入和普及、信息技術(shù)的迅猛發(fā)展,經(jīng)濟、社會等各方面的重要信息在計算機中存儲和在網(wǎng)絡(luò)中傳輸。信息安全的研究成為最熱門的研究方向之一。終端系統(tǒng)的安全是構(gòu)建信息安全的基礎(chǔ)。Windows內(nèi)核模塊技術(shù)有很大的優(yōu)點,但同時也存在很大的安全隱患。攻擊行為已經(jīng)從用戶態(tài)進入內(nèi)核態(tài),具備了系統(tǒng)的最高權(quán)限,可以修改系統(tǒng)內(nèi)核的關(guān)鍵數(shù)據(jù)結(jié)構(gòu)并可以改變系統(tǒng)服務的一些功能。 本文對Windows內(nèi)核模塊的重要組成元素和各部分存在的不安全因素

2、進行了深入的分析,然后對攻擊內(nèi)核模塊的技術(shù)比如各種掛鉤技術(shù)、機器重啟時自動運行技術(shù)、利用驅(qū)動程序等進入內(nèi)存的加載技術(shù)進行了深入的剖析,特別對Rootkit各個發(fā)展階段的技術(shù)原理有很深入的研究。 最后,是內(nèi)核模塊安全檢測系統(tǒng)的設(shè)計和實現(xiàn),實際上就是在操作系統(tǒng)的運行過程中,對內(nèi)存中各個敏感區(qū)域進行檢測。內(nèi)存中的各種模塊,不管是內(nèi)核模式下的系統(tǒng)模塊還是用戶模式下的普通應用模塊,都是從某些磁盤文件中寫入的,這些文件通常是PE格式文件,它

3、在從硬盤到內(nèi)存的過程中基本上是有章可循的。所以就能夠以硬盤為參照,查找內(nèi)存中可能出現(xiàn)的異?，F(xiàn)象,從而判斷系統(tǒng)是否受到了攻擊。 本檢測系統(tǒng)首先對系統(tǒng)調(diào)用過程中涉及到的重要的用戶態(tài)及內(nèi)核態(tài)的主要模塊和重要的系統(tǒng)服務進行檢測,這些都是攻擊者的攻擊目標,每一部份的檢測都是對應于對內(nèi)核模塊進行攻擊的主要技術(shù)有針對性的進行。并且本方案不是傳統(tǒng)的基于病毒的特征碼進行檢測的,所以體現(xiàn)出一定的有效性和智能性。本文給出了整體的系統(tǒng)設(shè)計方案和每一檢測