Windows下基于交叉视图的Rootkit进程隐藏检测技术
基于Windows内核的进程隐藏工具的设计与实现本科毕业设计
毕业论文声明本人郑重声明:1.此毕业论文是本人在指导教师指导下独立进行研究取得的成果。
除了特别加以标注地方外,本文不包含他人或其它机构已经发表或撰写过的研究成果。
对本文研究做出重要贡献的个人与集体均已在文中作了明确标明。
本人完全意识到本声明的法律结果由本人承担。
2.本人完全了解学校、学院有关保留、使用学位论文的规定,同意学校与学院保留并向国家有关部门或机构送交此论文的复印件和电子版,允许此文被查阅和借阅。
本人授权大学学院可以将此文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存和汇编本文。
3.若在大学学院毕业论文审查小组复审中,发现本文有抄袭,一切后果均由本人承担,与毕业论文指导老师无关。
4.本人所呈交的毕业论文,是在指导老师的指导下独立进行研究所取得的成果。
论文中凡引用他人已经发布或未发表的成果、数据、观点等,均已明确注明出处。
论文中已经注明引用的内容外,不包含任何其他个人或集体已经发表或撰写过的研究成果。
对本文的研究成果做出重要贡献的个人和集体,均已在论文中已明确的方式标明。
学位论文作者(签名):年月关于毕业论文使用授权的声明本人在指导老师的指导下所完成的论文及相关的资料(包括图纸、实验记录、原始数据、实物照片、图片、录音带、设计手稿等),知识产权归属华北电力大学。
本人完全了解大学有关保存,使用毕业论文的规定。
同意学校保存或向国家有关部门或机构送交论文的纸质版或电子版,允许论文被查阅或借阅。
本人授权大学可以将本毕业论文的全部或部分内容编入有关数据库进行检索,可以采用任何复制手段保存或编汇本毕业论文。
如果发表相关成果,一定征得指导教师同意,且第一署名单位为大学。
本人毕业后使用毕业论文或与该论文直接相关的学术论文或成果时,第一署名单位仍然为大学。
本人完全了解大学关于收集、保存、使用学位论文的规定,同意如下各项内容:按照学校要求提交学位论文的印刷本和电子版本;学校有权保存学位论文的印刷本和电子版,并采用影印、缩印、扫描、数字化或其它手段保存或汇编本学位论文;学校有权提供目录检索以及提供本学位论文全文或者部分的阅览服务;学校有权按有关规定向国家有关部门或者机构送交论文的复印件和电子版,允许论文被查阅和借阅。
Windows系统Rootkit检测技术研究
为应 用 级 R okt 内核级 Roti o ti和 okt 。前 者 工作 在 Rig3级 , n 只替 换或修 改 系统 管理 员和 用户 使用 的 可执 行程 序 , 一般 不会 对操 作 系统 的其 它应 用 服务 造成 影 响 ; 者工 作在 Rig0级 , 有对 系统 的最 后 n 拥 高操 作权 限 , 直接 操 作 硬 件 设 备 , 内存 访 问 限 可 无 制 , 以 实 现 应 用 级 R okt 法 完 成 的 隐 藏 功 可 o ti无
kt 早现 在 Unx 作 系统上 , 在几 乎所 有 的操 i最 i操 现 作 系统 都 受 到 R okt的攻 击 , o ti 目前 Wid ws环 no 境下 的 Roti也 日益 流 行 。Roti okt okt检测 技 术 是
当前 R okt 究 的难 点 , Wid ws系 统 本 身 o ti 研 而 no 的复 杂 性 也 给 R okt检 测 带 来 了不 小 的 难 题 。 o ti 本文针 对 Wid ws 境 下 的 Ro t i 检 测 技术 进 no 环 okt
西安 707) 10 7 ( 空军工程大学 电讯工程学 院
摘
要
R okt o ti是一组后 门工具 的集合 , 是特洛伊木 马发展 的高 级阶段 。通过 研究 Wid ws n o 下的 R okt o ti技术原 理
及 检测 技术 , 出具 体 实 现 方 法 。 给
关键词 R okt 特洛伊木马 网络安全 o ti
类是通 过 修 改 应 用 程 序 调用 系统 函数 的执 行 路
径, 劫持正常程序及系统函数调用的执行路径 , 篡改 函数调用函数的返回值以达到向用户隐藏攻击信息
的 目的 ; 一类是通 过修改 系统 内核数 据结构 , 当用 户 程序 向内核 查询 信 息 ( 当前 运 行进 程 、 动 程序 ) 如 驱
RootKit文件隐藏技术实现
RootKit文件隐藏技术实现
RootKit文件隐藏技术实现
作者:夜枫
作者机构:无
来源:黑客防线
年:2008
卷:000
期:004
页码:79-82
页数:4
中图分类:TP393.08
正文语种:CHI
关键词:RootKit;隐藏文件;隐藏技术;API函数;win32编程;当前目录;Hook;磁盘驱动
摘要:R00tKit隐藏文件的原理并不复杂,我们知道,win32编程中枚举一个目录下的文件通常是API函数FindFirstFile和FindNextFile两个组合起来,枚举到当前目录下的文件,而这两个APl实际对应的内核Native API是NtQueryDirectoryFile,所以我们只需要在内核Hook这个API函数,并做相应的处理就可以实现文件的隐藏。
当查到我们要隐藏的文件时,就在内核将这个文件剔除掉,所以FindFirstFile和FindNextFile实际得到的是我们已经剔除过的信息了,这样就不会被枚举出来了,也就看不到我们的文件了。
当然,这个方法是过不了反RootKit工具的,例如IceSword用的是直接和磁盘驱动通讯的方法获得到数据,所以R00tKit隐藏对于这类工具是无效的。
RootKit攻防与检测
本栏目责任编辑:冯蕾网络通讯及安全Computer Knowledge And Technology 电脑知识与技术2008年第4卷第4期(总第31期)RootKit 攻防和检测技术张贵强1,李兰兰2(1.兰州石化职业技术学院,甘肃兰州730060;2.兰州大学,甘肃兰州730030)摘要:随着计算机网络技术的发展,网络安全问题越来越多的受到人们的关注,同时,也出现了各种类型的计算机病毒和木马程序。
最近,出现了一种特殊木马程序———Rootkit ,该文详细的介绍了Rootkit 的隐藏技术和检测方法。
关键词:Rootkit ;木马程序;网络安全;隐藏;检测中图分类号:TP393文献标识码:A 文章编号:1009-3044(2008)31-0838-02Defence and Detection Technology Against RootKitZHANG Gui-qiang 1,LI Lan-lan 2(Lanzhou Petrochemical College of Vocational Technology,Lanzhou 730060,China;nzhou University,Lanzhou 730030,China)Abstract:With the development of computer network,security of network attracts more and more attention.Meanwhile,all kinds of computer viruses and Trojan programs arised,inluding a special Trojan program:RootKit.A detailed introduction of hidden technology and detection method of RootKit has been put forward in this paper.Key words:rootkit;trojan program;network security;hidden technology;detection众所周知,木马病毒是指寄生于用户计算机系统中,盗窃用户信息,并通过网络发送给作者的一类病毒程序。
Rootkit的类型、功能及主要技术
Rootkit的类型、功能及主要技术Rootkit 的类型小结1.固化Rootkits和BIOS Rootkits固化程序是存于ROM中,通常很小,使用系统硬件和BIOS 创建顽固的软件镜像。
将制定的代码植入到BIOS 中,刷新BIOS,在BIOS 初始化的末尾获得运行机会。
重启无用、格式化无用,在硬盘上无法探测,现有的安全软件将大部分的扫描时间用在了对硬盘的扫描上。
本文整理:(第三方信息安全网)/2 内核级Rootkits内核级Rootkits(Kernelland Rootkits)是通过修改内核、增加额外的代码、直接修改系统调用表、系统调用跳转(Syscall Jump),并能够替换一个操作系统的部分功能,包括内核和相关的设备驱动程序。
现在的操作系统大多没有强化内核和驱动程序的不同特性。
许多内核模式的Rootkit 是作为设备驱动程序而开发,或者作为可加载模块,如Linux 中的可加载模块或Windows 中的设备驱动程序,这类Rootkit 极其危险,它可获得不受限制的安全访问权。
如果代码中有任何一点错误,那么内核级别的任何代码操作都将对整个系统的稳定性产生深远的影响。
特点:无进程;无端口。
与用户级Rootkit 相比,与操作系统处于同一级别,可以修改或破坏由其它软件所发出的任何请求。
3 用户态Rootkits用户态Rootkits(Userland Rootkits)是运行在Ring3 级的Rootkit,由于Ring3 级就是用户应用级的程序,而且信任级别低,每一个程序运行,操作系统给这一层的最小权限。
用户态Rootkit使用各种方法隐藏进程、文件,注入模块、修改注册表等。
4 应用级Rootkits应用级Rootkits 通过具有特洛伊木马特征的伪装代码来替换普通的应用程序的二进制代码,也可以使用Hook、补丁、注入代码或其它方式来修改现有应用程序的行为。
5 代码库Rootkits代码库Rootkits 用隐藏攻击者信息的方法进行补丁、Hook、替换系统调用。
Windows Rootkit实现及其检测技术分析
随操 作 系 统 启 动 的R o o t k i t 中 ,深 入 分 析 该条 目的前5 个 字符 ( w i n d o w s 支持m u t i l , 内核 劫持 、s v c h o s t 宿主 启动 、w i n l o g o n 事 S C S i ,S i g n a t u r e ) ,如 果是 S c S i ,就 会
R o o t k i t 1 最早 出现于U n i x 系统中 ,随着
计算机 技术的发展 ,现在 多种操作系 统平 台 中都出现 了R o o t k i t 。现在 的研 究表明恶意代 码 的R o o t k i t 技术化趋 势非常 明显 ,R o o t k i t
依 照w i n d o w s R o o t k i t 的启 动 实现 方 来 实现 内核 的劫持 , 当w i n d o w s 通 过N R L D R
Ke y w or d: Root l d t;vs hos t . e x e; BI OS Ro od & ; M BR Bo ot it k
1 . 介绍
2 . W i n d o w s R o o { k i t 的实现原理
利 用B o o t . i n i 文 件 中 的特殊 选项 S C S i
Re s e a r c h on de s i g ni ng a nd de t e c t i ng t e c hno l ogy o f R oot ki t
Abs t r a c t :R o o d d t i s u s e d t o h i d e i t s ma l i c i o u s s o f t w a r e a n d o t h e r s p e c i a l r e s o u r c e s a n d a c t i v i t i e s o f t h e p r o c e d u r e s s e t I n t h i s p a p e r ,s t a r i t n g wi h t w i n d o ws Ro o t l d t , Ro o d d t i s p i r o r t o he t o p e r a t i n g s y s t e m b o o t a n d wi h t he t o p e r a i t n g s y s t e m t o s t rt a he t t wo c l a s s ,t he s t a r t o f he t t wo k i n d s o f wi n d o ws Ro o t k i t ,t he r e a l i z a t i o n p r i n c i p l e nd a h i d i n g t e c h n o l o g y i s a n a l y z e di n d e t a i l ,a ndt h ep r i n c i p l e o f he t e x i s t i n gd e t e c t i o nme t h o d sa re na a l y z e d
一种基于交叉视图的Windows Rootkit检测方法
中 图分 类号 : F 0 . T 39 5 文 献标 识 码 : A 文 章 编 号 :0 9— 5 2 2 1 )6— 0 6— 4 10 2 5 (0 1 0 02 0
一
种 基 于 交叉视 图 的 Widw oti 检 测 方法 n o sR ok t
傅 德 胜 ,曹 成 龙
效果 。
关键 词 :ro i检 测 ;交 叉视 图 ;注册表 ;用户态 ;内核态 ot t k
A i d ws Ro t i e e to e h d b s d o r s . i w W n o o ktd t cin m t o a e n c o s ve
FU —h n De s e g,C AO C e g ln h n -o g
一
展性 的技术 使用 , 使得 可 以定 制用户所 查询 的信息 。
R o i利用 这 种 技术 的 目的 , 于 当用 户查 询 某个 okt 在
信息, 比如注册 表 的一 个子键 时 , 系统 返 回的信 息 在 中 , 以过滤关 于隐藏 自身 的注册表 信息 , 可 达到 隐藏 自己 的 目的 。按 照 H o 术 实现 特 征 , 将 其分 ok技 可
b h vo f r ok t h i p p r p e e td a r ok t d tc in me h n s b s d o e h d e e it e a iro o ti ,t s a e r s n e o ti e e t c a i o m a e n t i d n r gsr h y
i fr t n,a d sg e W i o o t i d tci n no mai o nd e in d a nd ws r o kt ee t me o a e n c o s ve o h t d b s d o rs — iw. T s meh d y hi t o b c mp rn r m e k r e dea d u e d nu r to ft e r gsr n o ain fu e r gsr o a i g fo t e n lmo n s rmo e e me ain o e ity if r to o nd t e ity h h m h h d e tms b o t i, a t e e e td t e o t i. F n ly,a e r s na i e x mp e h ws h s i d n ie y r ok t nd h n d tce ro k t i al h r p e e ttv e a l s o t i
Windows系统下Rootkit的隐藏与检测
R tt o k 的攻击过程主要包括 : i ①收集 目标 系统 信息. 攻击者在攻击某个系统之前 , 需要知道 目 标系 统有哪些漏洞 , 使用什么操 作系统 , 哪些 帐号等. 有 ②获得管理员等级的用户 的访问权限. 在得到 目标 系统足够 的信 息 后 , 攻击 者便 开 始 利 用 其 漏 洞发 起 进攻. 比较常见 的是先获得普通用户访问权 限, 然后 再利用 目标系统的本地漏洞提高到超级用户访问权 限. 还有 一种方 式 是直 接 利用 f t tnt 网络 服 p和 e e 等 l 务的漏洞获得超级用户访问权限. ③在 目标操作 系 统上安装 R o i 获得超级用户访问权限后 , ot t k. 攻击者 就可以在 目标系统上安装 R o i 来隐藏攻击行为 , ot t k, 创建各种后 门. ④控制 目 标系统. 目标系统上安装 在 Ro i , ot t 就可以持久的控制 目标系统 , k后 对其进行各
些 服务 等等 .
2 Wi o s oti隐藏技术 n w o t d R k
R ti隐藏 的实 现 过 程 主要 有 : 1 用 户 态 下 ok t ()
的 A I ok 在用户态 , PH . 一种常用的隐藏方法就是修 改P E文件 的 IT I o d rsT b ) 实现 .A A (mp ̄A des al 来 e IT 中记 录 了该 文 件 运 行 时 需 要 调 用 的所 有 函数 链 接 库 . E文件 运行 时会将 自己和 IT中记 录 的链 接库 P A
种攻 击 , 而且不 被 目标 系统 的管 理 员 察 觉 . 如 : 例 利 用 目标 系统 攻 击 其 它 系统 , 目标 系统 拒绝 提 供 某 使
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
k r e b et nme r .Ex e i n ss o t a hstc nq eo ss t f d d tcinefc. e n lo jcsi mo y p rme t h w h tt i e h iu wn ai i ee t fe t se o
KEYW ORDS r o k t p o e sh d n , me r e r h o t i, r c s i i g mo y s a c
到 目标 程 序 的地 址 空 间 , 析 内存 中 目标 程 序 的 P 分 E 格 式 , 到 I T 中 目标 A I 找 A P 函数 的地址 , 后 替换 为 然
展 。 okt Ro ti 是能够 持久且难 于检测地存 在 于计 算机 之 中的一 组程 序和代码 [ 。 用 Wid w o ti, 以 1 利 ] n o sR okt可
Ro t i 初 出现 于 Unx系统 , 1 9 okt最 i 在 9 9年 的 时
F n t nHo kn ) u ci o ig 。导入地址 表 ( o I AT) 子通过 进入 钩
候 , e gu d开 发 出 了 针 对 Wid ws系 统 的 Grg Ho ln no R o kt 此 后 , n o okt 术 得 到 了快 速发 o ti, Wid wsRo ti 技
1 2 内核 级 R okt . o ti 的进 程 隐藏技术
行 隐 藏 , 而使入 侵者 进入 被攻 占的系统 后 所 引起 的 从
变化 ( 启 动 了新进 程 、 如 增加 了新 文R okt o ti技术 中的一
种 典型 应用 。 将进 程隐藏起来 , 意味着程 序可 以在不被
Wid ws 基 于交 叉视 图 的 Ro ti进 程 隐 藏 检 测 技 术 no 下 okt
文章 编 号 ; 0 3 5 5 ( 0 1 O — 0 6 0 1 0 —8 0 2 1 ) 5 0 5 — 2
Wid w n o s下基 于交叉视 图的 Ro ti 进 程 隐藏 检 测技 术 okt
中 圈 分 类 号 :TP 1 . 367 文 献 标 识 码 :A
AB TRACT Th s p p rs u id t ee itn i d n p o e st c n q e fr o k t n W i d ws n h n p o o e i d n p o e s S i a e t d e h xs i g h d e r c s e h i u so o t i i n o ,a d t e r p s d a h d e r c s d t c i n t c n q e o o t i b s d o r s - iw. Th s t c n q e d t c s h d e r c s y c mp rn h r c s it t i e e e t e h i u fr o k t a e n c o s v e o i e h i u e e t i d n p o e s b o a i g t e p o e s l s a t n d s a f o o e a i g s se h g -e e n o l v lr s e tv l . I a tc l r h o l v lp o e s l t i t i e y s a c i g t e r m p r tn y t m ih l v la d l w— e e p c ie y n p r iu a ,t e l w—e e r c s i s a t n d b e r h n h e s a
内核 级 Ro ti 工 作 在 权 限最 高 的 环 0级 上 , okt 能
够 直接 操作 内核 代码 , 这为 进程 的隐藏 提供 了便 利 。 在 内核 模式 下 , 隐藏进 程 的技 术 主要 有 挂 钩 系统 服务 调 度 表 ( y tm evc ip th T be S D 和直 接 S se S r i D s ac a l , S T) e 内 核 对 象 操 作 ( i c en lObetMa iuai , D r tK r e e jc np lt n o
技术 。 技术 通过 比较从操作 系统 的高层和底 层获取 到 的进 程 列表来 检测 被 R okt 隐藏 的进程 , 中, 该 o ti 所 其 底层 进 程 列表 是 通过搜 索 内存 中的 内核对 象来获 得 的。实验表 明 ,该 技 术具 有较 好 的检 测效果 。
【 键 词 】 Ro ti, 进 程 隐藏 , 内存 搜 索 关 okt
对 Wid ws系统 中的进程 、 no 文件 、 口、 端 驱动程 序等进
钩子 函数 的地址 。这样 , 当调用 目标 函数 时 , 就会 执行 钩子 函数 而不是 原始 的 AP 函数 。 内联 函数 钩子常 I 而 常直接 把 目标 函数 的前 5 字节 修改 为一个 无条 件跳 个
转 指令 J MP, 跳转 指 向 R okt 该 o ti 钩子 。
H i e o e s De e to c i e o o ki s d o o s Vi w n W i o dd n Pr c s t c i n Te hn qu f Ro t t Ba e n Cr s — e i nd ws
李 建军 王庆 生
( 太原理 工大 学计 算机科 学与技 术 学院 太原 0 0 2 ) 3 0 4 【 摘 要】对 现有 的 Wid ws o ti进 程 隐藏技 术进行 了研 究 ,提 出 了基于 交叉视 图的 Ro t i进 程 隐藏检 测 n o okt R okt