Windows RootKit概述
什么是Rootkit病毒
什么是Rootkit病毒
Rootkit是一种很深的隐藏在操作系统中执行恶意或令人讨厌的程序,比如弹出程序、广告软件或者间谍程序等。
大多数安全解决方案不能检测到它们并加以清除。
因为Rootkit在操作系统中隐藏得很深并且是以碎片的形式存在。
如果在清除过程中漏掉了任何一个相互关联的碎片,rootkit
能够自我激活。
一般的病毒扫描通常是清除病毒程序的执行阶段,但是在重新启动操作系统后rootkit
能够再次执行,所以问题并没有彻底解决。
要解决问题必须从rootkit本身,也就是从恶意程序的源头去根除。
内核模式的rootkit通常攻击操作文件系统,如果要检测已知及未知的内核模式rootkit,就必须直接访问原始卷并执行干净的启动进行补救。
赛门铁克诺顿2007产品采用Veritas 的VxMS (Veritas 映射服务)技术组件可以直接访问NTFS 格式的原始卷,并可以绕开Windows 文件系统API(应用程序接口)。
这种技术使诺顿的反间谍软件能够对运行在驱动程序层面上的rootkit 进行检测并实施补救措施。
对于未知的rootkit,赛门铁克采用最新的启发式检测(Heuristic Detection)进行有效防御。
来源:汤普森计算机安全实验室(Thompson Cyber Security Labs)。
解析RootKit与反RootKitWEB安全电脑资料
解析RootKit与反RootKitWEB平安电脑资料Rootkit是一个或者多个用于隐藏、控制一台计算机的工具包,该技术被越来越多地应用于一些恶意软件中,实验环境:Windows XP SP2工具:Hacker defende(RootKit工具)RootKit Hook Analyzer(RootKit分析工具)IceSword(冰刃)一、RootKit笔者以用RootKit进展员高级隐藏为例,解析RootKit技术。
超级隐藏的管理员用户。
1、创立帐户在命令提示符(cmd.exe)下输入如下命令:user gslw$ test168 /add通过上面的两行命令建立了一个用户名为gslw$,密码为test168的普通用户。
为了到达初步的隐藏我们在用户名的后面加了“$”号,这样在命令提示符下通过 user是看不到该用户的,当然在“本地用户和组”及其表的“SAM”项下还可以看到。
(图1)2、用户提权下面我们通过表对gslw$用户进程提权,使其成为一个比较隐蔽(在命令行和“本地用户和组”中看不到)的管理员用户。
第一步:翻开表器,定位到HKEYLOCALMACHINE\SAM\SAM项。
由于默认情况下管理员组对SAM项是没有操作权限的,因此我们要赋权。
右键点击该键值选择“权限”,然后添加“administrators”组,赋予其“完全控制”权限,最后刷新表,就能够进入SAM项下的相关键值了。
第二步:定位到表HKEYLOCALMACHINE\SAM\SAM\Domains\Aount\Users项,点击“000001F4”表项,双击其右侧的“F”键值,复制其值,然后点击“00000404”表项(该项不一定相同),双击其右侧的“F”键值,用刚刚复制键值进展替换其值。
(图2)第三步:分别导出gslw$、00000404表项为1.reg和2.reg。
在命令行下输入命令" user gslw$ /del"删除gslw$用户,然后分别双击1.reg和2.reg导入表,最后取消administrators对SAM表项的访问权限。
Windows系统Rootkit检测技术研究
为应 用 级 R okt 内核级 Roti o ti和 okt 。前 者 工作 在 Rig3级 , n 只替 换或修 改 系统 管理 员和 用户 使用 的 可执 行程 序 , 一般 不会 对操 作 系统 的其 它应 用 服务 造成 影 响 ; 者工 作在 Rig0级 , 有对 系统 的最 后 n 拥 高操 作权 限 , 直接 操 作 硬 件 设 备 , 内存 访 问 限 可 无 制 , 以 实 现 应 用 级 R okt 法 完 成 的 隐 藏 功 可 o ti无
kt 早现 在 Unx 作 系统上 , 在几 乎所 有 的操 i最 i操 现 作 系统 都 受 到 R okt的攻 击 , o ti 目前 Wid ws环 no 境下 的 Roti也 日益 流 行 。Roti okt okt检测 技 术 是
当前 R okt 究 的难 点 , Wid ws系 统 本 身 o ti 研 而 no 的复 杂 性 也 给 R okt检 测 带 来 了不 小 的 难 题 。 o ti 本文针 对 Wid ws 境 下 的 Ro t i 检 测 技术 进 no 环 okt
西安 707) 10 7 ( 空军工程大学 电讯工程学 院
摘
要
R okt o ti是一组后 门工具 的集合 , 是特洛伊木 马发展 的高 级阶段 。通过 研究 Wid ws n o 下的 R okt o ti技术原 理
及 检测 技术 , 出具 体 实 现 方 法 。 给
关键词 R okt 特洛伊木马 网络安全 o ti
类是通 过 修 改 应 用 程 序 调用 系统 函数 的执 行 路
径, 劫持正常程序及系统函数调用的执行路径 , 篡改 函数调用函数的返回值以达到向用户隐藏攻击信息
的 目的 ; 一类是通 过修改 系统 内核数 据结构 , 当用 户 程序 向内核 查询 信 息 ( 当前 运 行进 程 、 动 程序 ) 如 驱
Rootkit的类型、功能及主要技术
Rootkit的类型、功能及主要技术Rootkit 的类型小结1.固化Rootkits和BIOS Rootkits固化程序是存于ROM中,通常很小,使用系统硬件和BIOS 创建顽固的软件镜像。
将制定的代码植入到BIOS 中,刷新BIOS,在BIOS 初始化的末尾获得运行机会。
重启无用、格式化无用,在硬盘上无法探测,现有的安全软件将大部分的扫描时间用在了对硬盘的扫描上。
本文整理:(第三方信息安全网)/2 内核级Rootkits内核级Rootkits(Kernelland Rootkits)是通过修改内核、增加额外的代码、直接修改系统调用表、系统调用跳转(Syscall Jump),并能够替换一个操作系统的部分功能,包括内核和相关的设备驱动程序。
现在的操作系统大多没有强化内核和驱动程序的不同特性。
许多内核模式的Rootkit 是作为设备驱动程序而开发,或者作为可加载模块,如Linux 中的可加载模块或Windows 中的设备驱动程序,这类Rootkit 极其危险,它可获得不受限制的安全访问权。
如果代码中有任何一点错误,那么内核级别的任何代码操作都将对整个系统的稳定性产生深远的影响。
特点:无进程;无端口。
与用户级Rootkit 相比,与操作系统处于同一级别,可以修改或破坏由其它软件所发出的任何请求。
3 用户态Rootkits用户态Rootkits(Userland Rootkits)是运行在Ring3 级的Rootkit,由于Ring3 级就是用户应用级的程序,而且信任级别低,每一个程序运行,操作系统给这一层的最小权限。
用户态Rootkit使用各种方法隐藏进程、文件,注入模块、修改注册表等。
4 应用级Rootkits应用级Rootkits 通过具有特洛伊木马特征的伪装代码来替换普通的应用程序的二进制代码,也可以使用Hook、补丁、注入代码或其它方式来修改现有应用程序的行为。
5 代码库Rootkits代码库Rootkits 用隐藏攻击者信息的方法进行补丁、Hook、替换系统调用。
rootkit
内核对象是 Windows 系统中用来登记系 统运行情况和资源记录的内核数据结构,由 对象管理器来管理。修改内核数据结构的方 法主要分为两类: 修改活动进程链表(PsActiveProcessList) 修改进程令牌 (Process Token)
在链表 PsActiveProcessList 上保存着所有进程的 EPROCESS 结构,当某些模块需要获得系统中 运行的所有进程信息时,就会通过遍历该双向 链表来获得所要的信息。如果在 PsActiveProcessList 链表上删除相应的某进程信 息,则该进程将被隐藏起来,即使调用系统服 务 ZwQuerySystemInformation()也无法得到该进 程的相关信息。而由于 Windows 的线程分派 器使用另外的数据结构 (pKiDispatchReadyListHead,pKiWaitInListHead,p KiWaitOutListHead),因此,隐藏的进程仍然 能够正常的运行
需要注意,Rootkit 本身并不能使攻击者获 取管理员权限,它不是一种软件利用工具。 攻击者必须先使用其它手段获取主机的控 制权,例如利用漏洞的溢出攻击,或者被 动的密码嗅探等。一般需要取得管理员权 限才能正确部署 Rootkit工具。Rootkit 一般 具备下述功能:
窃取重要信息 通过监控键盘击键以及网络数据,窃取用户口令以及网络银行密码等 隐私信息 维持控制权 攻击者可以通过 Rootkit 隐藏的后门,非常隐蔽的以管理员权限再次进 入系统 隐藏攻击痕迹 隐藏与 Rootkit 相关的文件、进程、通信链接和系统日志等攻击痕迹。 欺骗检测工具 使检测工具无法发现系统的异常,无法找到隐蔽在系统中的 Rootkit 软件。 提供植入手段 其它可执行程序,例如蠕虫或病毒可以通过 Rootkit提供的隐蔽通道 植入系统,并且可以使用 Rootkit 来隐藏自身。 提供攻击跳板 攻击者可以利用受控主机对网络上的其它主机发动攻击,例如蠕虫传 播、拒绝服务攻击等。
Windows Rootkit分析与检测的开题报告
Windows Rootkit分析与检测的开题报告一、选题背景随着计算机技术的日益发展,计算机系统的安全问题越来越引人关注,而Windows系统的安全性一直是使用者关注的重点。
其中,Rootkit 是一种类型最为隐蔽的恶意程序,它通过技术手段将自己隐藏在操作系统内部,从而导致黑客获取系统的最高权限,从而对系统进行操纵,具有非常高的危害性。
传统的杀毒软件难以发现和清除 Rootkit,因此针对Windows 系统 Rootkit 的分析与检测,是当前计算机安全领域中的一个关键研究方向。
二、选题意义Windows Rootkit 的研究对于加强电脑系统的安全性,防止黑客攻击和信息泄露起着至关重要的作用。
本文着重研究了Rootkit的分析与检测技术,从而为加强电脑系统的安全性提供一种有效途径。
三、研究目的本文旨在:1. 探索 Windows Rootkit 的工作原理,并深入了解其所具有的危害性。
2. 研究 Windows 系统 Rootkit 的分析技术,了解其隐藏和操纵的方法。
3. 研究 Windows 系统 Rootkit 的检测技术,探索其检测的目标和方法。
4. 采用 Windows Rootkit ,研究其分析与检测过程,探讨其特征及情况。
5. 基于研究结果,提出准确高效的 Windows Rootkit 检测方法。
四、研究内容1. Windows Rootkit的基本概念和工作模式介绍 Windows Rootkit 的基本概念,分析其工作模式以及其所具有的危害性。
2. Windows Rootkit 的分析技术探索Windows 系统Rootkit 的分析技术,了解其隐藏和操纵的方法。
阐述 Rootkit 的原理以及它所涉及的技术,包括 Rootkit 的内核钩子技术和文件过滤器技术,分析 Rootkit 的行为、设置,并分析 Rootkit 与操作系统交互的方式。
3. Windows Rootkit 的检测技术探讨 Windows 系统 Rootkit 的检测技术,探索其检测目标和方法。
Rootkit技术
Rootkit技术rootkit的主要分类早期的rootkit主要为应用级rootkit,应用级rootkit主要通过替换login、ps、ls、netstat 等系统工具,或修改.rhosts等系统配置文件等实现隐藏及后门;硬件级rootkit主要指bios rootkit,可以在系统加载前获得控制权,通过向磁盘中写入文件,再由引导程序加载该文件重新获得控制权,也可以采用虚拟机技术,使整个操作系统运行在rootkit掌握之中;目前最常见的rootkit是内核级rootkit。
内核级rootkit又可分为lkm rootkit、非lkm rootkit。
lkm rootkit主要基于lkm技术,通过系统提供的接口加载到内核空间,成为内核的一部分,进而通过hook系统调用等技术实现隐藏、后门功能。
非lkm rootkit主要是指在系统不支持lkm机制时修改内核的一种方法,主要通过/dev/mem、/dev/kmem设备直接操作内存,从而对内核进行修改。
非lkm rootkit要实现对内核的修改,首先需要获得内核空间的内存,因此需要调用kmalloc分配内存,而kmalloc是内核空间的调用,无法在用户空间直接调用该函数,因此想到了通过int 0x80调用该函数的方法。
先选择一个不常见的系统调用号,在sys_call_table 中找到该项,通过写/dev/mem直接将其修改为kmalloc函数的地址,这样当我们在用户空间调用该系统调用时,就能通过int 0x80进入内核空间,执行kmalloc函数分配内存,并将分配好的内存地址由eax寄存器返回,从而我们得到了一块属于内核地址空间的内存,接着将要hack的函数写入该内存,并再次修改系统调用表,就能实现hook系统调用的功能。
rootkit的常见功能隐藏文件:通过strace ls可以发现ls命令其实是通过sys_getdents64获得文件目录的,因此可以通过修改sys_getdents64系统调用或者更底层的readdir实现隐藏文件及目录,还有对ext2文件系统直接进行修改的方法,不过实现起来不够方便,也有一些具体的限制。
Rootkit病毒的解决办法
Rootkit病毒的解决办法在诸多病毒类型⾥⾯最让⼈深恶痛绝的就是Rootkit(内核型)蠕⾍病毒,许多时候杀毒软件能检测到该病毒,但却⽆法有效清除。
此类病毒的特点是病毒⽂件为两个或多个,⼀个是扩展名为EXE的可执⾏类型⽂件,⼀个是扩展名为SYS的驱动类型⽂件。
EXE可执⾏⽂件为传统的蠕⾍病毒模块,负责病毒的⽣成、感染、传播、破坏等任务;SYS⽂件为Rootkit模块。
Rootkit也是⼀种⽊马,但它较我们常见的“冰河”、“灰鸽⼦”等⽊马更加隐蔽,它以驱动程序的⽅式挂⼊系统内核,然后它负责执⾏建⽴秘密后门、替换系统正常⽂件、进程隐藏、监控⽹络、记录按键序列等功能,部分Rootkit还能关闭杀毒软件。
⽬前发现的此类模块多为病毒提供隐藏的机制,可见这两类⽂件是相互依赖的。
既然病毒已经被隐藏了,我们从何处⼊⼿发现病毒呢?这⾥就以感染orans.sys蠕⾍病毒的计算机为例,探讨如何检测和查杀该类病毒。
检测病毒体⽂件Norton防病毒软件报告c:windowssystem32orans.sys⽂件为Rootkit型病毒,这⾥可以看到使⽤Rootkit代码的SYS⽂件是⽆法逃过杀毒软件检测的。
那么是否删除了该⽂件就能清除病毒呢,答案是不⾏的。
⾸先在染毒的系统下该⽂件是受保护的,⽆法被删除。
即使⽤户在安全模式下删除了⽂件,重新启动后,另外⼀个未被删除的病毒⽂件将随系统启动,并监控系统。
⼀旦其发现系统的注册表被修改或病毒的SYS⽂件遭删除,病毒就会重新⽣成该⽂件并改回注册表,所以很多时候我们会发现病毒⼜重⽣了。
因此需要同时找到这两个⽂件,⼀并处理。
但在受感染的系统中,真正的病毒体已经被Rootkit模块隐藏了,不能被杀毒软件检测到。
这时就需要从系统中的进程找到病毒的蛛丝马迹。
系统⾃带的任务管理器缺少完成这⼀任务的⼀些⾼级功能,不建议使⽤。
这⾥向⼤家推荐IceSword或Process Explorer软件,这两款软件都能观察到系统中的各类进程及进程间的相互关系,还能显⽰进程映像⽂件的路径、命令⾏、系统服务名称等相关信息。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
挂钩技术—、WindowsRootKit概述2005年10月,RootKitRevealer的作者MarkRussinovich发现Sony公司使用RootKit以保护其电子出版物不受盗版侵权DMark在他的Blog上指出Sony公司不仅在消费者毫不知情的情况下(既没有明确告知消费者,也没有在软件的服务条款中提及)向消费者的电脑中安装了—个RootKit,而且知情的攻击者还可以利用这个RootKit隐藏自己的工具。
随后,RootKit 引起了人们广泛关注。
Rootkit是黑客在入侵目标系统后,开辟后门和隐藏行为的技术或者是工具。
当攻击者通过某种方式进入被入侵的系统并安装上RootKit就可以欺骗目标计算机的操作系统,从而达到隐藏所有修改并拥有操作系统控制权。
WindowsRootKit的核心技术就是隐藏技术,隐藏的内容包括文件、目录、进程、注册表项、网络端口、设备驱动器、网卡模式等。
RootKit最早出现于Unix系统中,随着计算机技术的发展,现在多种操作系统平台中都出现了RootKit。
其中Windows系统上的RootKit技术,尤其受到广泛重视,RootKit也分为几种:(一)早期RootKit工作原理是把系统中的一些程序替换成恶意的版本,当这些替换的程序运行时,就会自动隐藏特定的对象。
如称为RootKit之父的Cabanas病毒…(二)用户模式RootKit这种RootKit是安装在系统当前用户的安全上下文环境,替换、挂钩(hook!或者修改某些操作系统调用和DLL中的函数。
(三)内核模式RootKit现在的WindowsRootKit所使用的技术也从用户模式向内核模式发展,内核模式RootKit不仅能拦截底层的API调用,而且还会操作内核数据结构。
二、WindowsRootKit的检测技术WindowsRootKit检测技术总是伴随着Rootkit技术的发展而发展的,检测技术的发展也迫使WindowsRootKit技术不断更新。
近几年来,WindowsRootKit的作者为避免其编写的RootKit 被检测出来,也在不断寻找新的破坏操作系统及其内核的方法,如挂钩技术、DKOM技术等。
(一)挂钩技术(hook)的检测挂钩技术就是替换正常的程序为RootKit自身的程序,在其中过滤由系统返回的信息,分为用户空间挂钩和内核挂钩。
用户级APIHook常见的方式有:修改程序导入地址表(ImportAddressTable,IA T);修改函数输出表(ExportAddressTable,EA T);内核级APIhook 常见的方式有:修改系统服务描述SSDT(SystemServiceDispatchTable);修改中断IDT(InterruptDescriptorTable);驱动IRP句柄劫持;修改函数跳转。
早期的RootKit会篡改某一内核代码区或覆盖某一已知的数据区来安装挂钩,这些已知的数据区包括服务描述表SSDT,程序导入地址表IA T,中断描述符表IDT。
当前的检测工具如VICE,SystemVirginityV erifier和IceSword能进行所有代码区和已知数据区的完整性检测,能较好地检测这些早期的挂钩技术。
为躲避检测,近几年挂钩技术目标转向未知数据区的操作,尤其是在内核数据结构中改写函数指针。
HookFinder,K-Tracer,PoKeR系统采用事后分析的方法,来研究钩子放在数据区的哪个区域。
有大量的内核对象和函数指针存在于内存中,事后分析方法有一定的缺陷,SBCFI,Gibraltar,HookSafe和SFPD系统采用主动分析方法,强调检测操作系统并研究这些函数指针在什么地方,如何被钩子使用的,从而制定新的hook检测策略。
(二)直接内核操作技术(DKOM)的检测DKOM(DirectKernelObjectManager)是不使用WindowsAPI直接操作内核数据结构的进程。
Rootkit经常会修改内核数据结构来达到隐藏的目的。
DKOM技术最早用于FURootKit,其后FUTo进一步扩展了FU的DKOM功能。
例如,FURootkit把某个进程的EPROCESS从windows内核维护_个当前运行进程的双向链表ActiveProcessLinks中摘除,该进程则被隐藏。
当前一些著名的检测工具如GMER,RootKitUnhooker能有效的检测这些已知的基于DKOM 的WindowsRootKit,如FURootKit,FUTo。
但是这些工具不能对未知的基于DKOM的RootKit 检测。
Rootkit的写作者们正热衷于未知的基于DKOM的RootKit探索,当前一些Rootkit的研究者也从检测手段、检测模型、原型系统设计等方面进行了探讨。
如在检测手段上利用各个内核链表结构中的一些进程EPROCESS结构差异对多种方法获得的进程EPROCESS交叉对比;如对目录、设别、驱动及PsLoadedModuleList的入口地址数据结构的分析进而提出的原型系统设计方案等。
(三>其它WindowsRootKit技术的检测除了以上主流WindowsRootKit技术外,还有:基于内存补丁的RootKit技术、虚拟机RootKit 技术、内存映射技术、DLL插入技术等.目前一些检测工具能有效地进行检测。
三、WindowsRootKit检测方法由于WindowsRootKit的检测较为复杂,目前对检测WindowsRootKit还没有形成标准化的方法,检测手段也多样化,现有产品中用到的检测方法主要有如下几种:(—)特征检测法该检测方法通过在内核内存中搜索含有特征码的内存块来检测WindowsRootKit,但它通常只能检测出已知特征码的WindowsRootKito这种方法目前被杀毒软件广泛使用。
(二)行为检测法也称启发式检测,这是一种通过发现非常规系统行为寻找WindowsRootKit痕迹的检测方法。
这种方法的主要缺陷在于通常会使挂钩系统频繁调用的处理函数,对操作系统性能有较大影响。
比较有名的检测工具如:PatchFinder,VICE等。
(三>差异分析检测法通过比较可信任的原始数据与由API调用返回受污染的内容,然后比较两者之间的结果差异。
如Russinovich使用RootKitRevealer工具发现SonyDRMRootkit。
PoliceTechnology2012年第5期37(四)完整性校验的检测RootKit未安装之前,建立一个原始的基线指纹,以这个可信任的指纹列为准,通过重新计算和比较后继安装文件的消息摘要来达到识别RootKit。
该检测方法对于简单的Rootkit有效,对于复杂的rootkit无能为力。
比较著名的检测工具如:Tripwire,SystemV irginityV erifer,IceSword等。
(五)交叉视图(Cross-V iew )检测通过比较不同途径所枚举到的系统信息,根据其中的差异发现WindowsRootKit的痕迹。
比较有名的检测工具如:MSStriderGhostBuster,Klister,Blacklight等。
四、WindowsRootKit取证分析WindowsRootKit不仅能修改操作系统,而且能隐藏一些病毒、木马、黑客工具等,对系统和网络构成了严重威胁。
在计算机犯罪或安全事件调查中,被调查的系统若存在某个RootKit,如果计算机取证人员缺乏相应的RootKit检测技巧和计算机取证意识,就会被误导从而做出错误的估计,相当大量的资源就会被投入到错误的方向。
同时在不能确定问题根源的情况下,系统可能被擦除后重新安装,而出现后来在使用时系统重新被感染的情况。
在国内,当前计算机取证领域及电子证据司法实践中,如何制定WindowsRootKit的取证原则、如何设计取证方法、如何进行有效的WindowsRootKit分析等方面还缺乏一定的研究和实践。
在WindowsRootKit取证分析方面,建议如下:(一)开机检测和后期检测的并用有文献也称开机检测和后期检测为动态取证与静态取证,任何RootKit除了需要隐藏外,另外一个基本原理就是要运行,而开机检测指对一个运行的系统进行检测,分析其中是否存在RootKit,后期检测是针对系统的镜像进行分析。
RootKit的开机检测与后期检测侧重点不同,通过综合分析的方式有助于对RootKit的取证与分析。
(二>行为检测和差异分析方法的结合基本思路是使用不同的方法对同一信息进行查询,然后比较査询结果之间的差异,从而检测出RootKit的存在或者RootKit所隐藏的东西。
例如执行一个高级查询和一个底层查询(尽可能的底层),然后比较两者查询结果的差异。
(三>多种检测工具的运用目前有大量免费和商业的采用行为检测或差异分析的RootKit检测工具,但这些工具多不提供工作原理细节,其检测内容、输出格式、易揉作性等方面也不同。
如Helios使用行为分析方式,但系统中需安装.Net2.0应用框架;RootKitRevealer可检测RootKit隐藏的文件和注册表;GMER能检测隐藏的进程、服务、SSDT、IDT及IRP调用的驱动程序。
每种检测工具都有一定的误差率,多种检测工具的运用可以增加对RootKit存在的正确判断。
(四)镜像文件加载成虚拟文件系统的分析如MountImagePro(MIP)工具使用只读方式加载镜像文件,所以操作过程中不会对其中文件造成改动。
加载之后,运行各种反病毒工具对镜像中的文件和目录进行扫描。
由于被分析的系统、镜像中进程和服务、RootKit都不会运行,因此可以对获取镜像的RootKit进行分析。
(五)基于注册表Services键"最后修改时间”的快速分析检查注册表每个ControlSet键的Services键,按照最后修改(LastWrite)时间对列表中的键进行排序,列表中大多数项目会与系统安装时间吻合。
而内核模式rootKit安装时,很可能是零散的一两个子键,大多数情况下很容易发现。
由于Microsoft公司并没有公开发布用户模式下修改注册表最后修改时间的API,因此可以确定该时间就是RootKit及其驱动安装的时间,从而达到对RootKit的检测和分析。
(六)分析系统物理内存开机时获取系统物理内存镜像,在获取内存镜像后,捜索所有的EPROCESS块,将镜像中的活动进程信息与开机系统的进程列表进行比对,可以找到RootKit隐藏的进程,能有效的检测RootKit的存在并进行分析。
本文参考资料:北京华鑫侦探社:。