基于Windows平台的反Rootkit原理与实现
Windows系统Rootkit检测技术研究
为应 用 级 R okt 内核级 Roti o ti和 okt 。前 者 工作 在 Rig3级 , n 只替 换或修 改 系统 管理 员和 用户 使用 的 可执 行程 序 , 一般 不会 对操 作 系统 的其 它应 用 服务 造成 影 响 ; 者工 作在 Rig0级 , 有对 系统 的最 后 n 拥 高操 作权 限 , 直接 操 作 硬 件 设 备 , 内存 访 问 限 可 无 制 , 以 实 现 应 用 级 R okt 法 完 成 的 隐 藏 功 可 o ti无
kt 早现 在 Unx 作 系统上 , 在几 乎所 有 的操 i最 i操 现 作 系统 都 受 到 R okt的攻 击 , o ti 目前 Wid ws环 no 境下 的 Roti也 日益 流 行 。Roti okt okt检测 技 术 是
当前 R okt 究 的难 点 , Wid ws系 统 本 身 o ti 研 而 no 的复 杂 性 也 给 R okt检 测 带 来 了不 小 的 难 题 。 o ti 本文针 对 Wid ws 境 下 的 Ro t i 检 测 技术 进 no 环 okt
西安 707) 10 7 ( 空军工程大学 电讯工程学 院
摘
要
R okt o ti是一组后 门工具 的集合 , 是特洛伊木 马发展 的高 级阶段 。通过 研究 Wid ws n o 下的 R okt o ti技术原 理
及 检测 技术 , 出具 体 实 现 方 法 。 给
关键词 R okt 特洛伊木马 网络安全 o ti
类是通 过 修 改 应 用 程 序 调用 系统 函数 的执 行 路
径, 劫持正常程序及系统函数调用的执行路径 , 篡改 函数调用函数的返回值以达到向用户隐藏攻击信息
的 目的 ; 一类是通 过修改 系统 内核数 据结构 , 当用 户 程序 向内核 查询 信 息 ( 当前 运 行进 程 、 动 程序 ) 如 驱
Windows内核级防护系统
Windows内核级防护系统孟晨宇;史渊;王佳伟;周洁;康晓凤【摘要】Windows操作系统是当今应用最广泛的个人计算机操作系统,针对这一操作系统的病毒和木马层出不穷.大多数杀毒软件主要依赖特征码识别技术、校验和技术、软件模拟技术检测病毒.本系统从手动杀毒角度出发,变被动防御为主动查杀,特别是Rootkit保护的内核级木马,通过检测相应的被挂钩函数,内核中被修改的地址,找到相应的进程,从而实现了木马进程的强杀、相应内核内容的恢复等功能,更有效的保护计算机操作系统的安全.【期刊名称】《软件》【年(卷),期】2016(037)003【总页数】6页(P16-20,26)【关键词】内核防护;手动杀毒;信息安全;Rootkit【作者】孟晨宇;史渊;王佳伟;周洁;康晓凤【作者单位】徐州工程学院信电工程学院,江苏徐州221000);徐州工程学院信电工程学院,江苏徐州221000);徐州工程学院信电工程学院,江苏徐州221000);徐州工程学院信电工程学院,江苏徐州221000);徐州工程学院信电工程学院,江苏徐州221000)【正文语种】中文【中图分类】TP311本文著录格式:孟晨宇,史渊,王佳伟,等. Windows内核级防护系统[J]. 软件,2016,37(3):16-20随着网络技术的发展,计算机在人民生活中的地位越来越重要。
计算机在给人民的生活和工作带来极大便利的同时,也带来了信息安全问题。
Windows操作系统是当今应用最广泛的个人计算机操作系统,针对这一操作系统的病毒和木马层出不穷。
[1]而且更为严重的是内核级Rootkit的诞生,给系统安全带来了极大的破坏性。
内核是操作系统的核心,内核的完整性保护对维护操作系统至关重要。
[2]所以本系统旨在从内核出发,全方位的利用多种综合检测技术维护系统内核的安全性以及完整性。
1.1 系统整体设计方案本系统主要分为用户层和内核层,[3]用户层利用VC++ 6.0开发,采用C++语言实现,[3-5]内核层利用WDK开发,采用C语言实现。
Windows Rootkit实现及其检测技术分析
随操 作 系 统 启 动 的R o o t k i t 中 ,深 入 分 析 该条 目的前5 个 字符 ( w i n d o w s 支持m u t i l , 内核 劫持 、s v c h o s t 宿主 启动 、w i n l o g o n 事 S C S i ,S i g n a t u r e ) ,如 果是 S c S i ,就 会
R o o t k i t 1 最早 出现于U n i x 系统中 ,随着
计算机 技术的发展 ,现在 多种操作系 统平 台 中都出现 了R o o t k i t 。现在 的研 究表明恶意代 码 的R o o t k i t 技术化趋 势非常 明显 ,R o o t k i t
依 照w i n d o w s R o o t k i t 的启 动 实现 方 来 实现 内核 的劫持 , 当w i n d o w s 通 过N R L D R
Ke y w or d: Root l d t;vs hos t . e x e; BI OS Ro od & ; M BR Bo ot it k
1 . 介绍
2 . W i n d o w s R o o { k i t 的实现原理
利 用B o o t . i n i 文 件 中 的特殊 选项 S C S i
Re s e a r c h on de s i g ni ng a nd de t e c t i ng t e c hno l ogy o f R oot ki t
Abs t r a c t :R o o d d t i s u s e d t o h i d e i t s ma l i c i o u s s o f t w a r e a n d o t h e r s p e c i a l r e s o u r c e s a n d a c t i v i t i e s o f t h e p r o c e d u r e s s e t I n t h i s p a p e r ,s t a r i t n g wi h t w i n d o ws Ro o t l d t , Ro o d d t i s p i r o r t o he t o p e r a t i n g s y s t e m b o o t a n d wi h t he t o p e r a i t n g s y s t e m t o s t rt a he t t wo c l a s s ,t he s t a r t o f he t t wo k i n d s o f wi n d o ws Ro o t k i t ,t he r e a l i z a t i o n p r i n c i p l e nd a h i d i n g t e c h n o l o g y i s a n a l y z e di n d e t a i l ,a ndt h ep r i n c i p l e o f he t e x i s t i n gd e t e c t i o nme t h o d sa re na a l y z e d
Windows下基于交叉视图的Rootkit进程隐藏检测技术
k r e b et nme r .Ex e i n ss o t a hstc nq eo ss t f d d tcinefc. e n lo jcsi mo y p rme t h w h tt i e h iu wn ai i ee t fe t se o
KEYW ORDS r o k t p o e sh d n , me r e r h o t i, r c s i i g mo y s a c
到 目标 程 序 的地 址 空 间 , 析 内存 中 目标 程 序 的 P 分 E 格 式 , 到 I T 中 目标 A I 找 A P 函数 的地址 , 后 替换 为 然
展 。 okt Ro ti 是能够 持久且难 于检测地存 在 于计 算机 之 中的一 组程 序和代码 [ 。 用 Wid w o ti, 以 1 利 ] n o sR okt可
Ro t i 初 出现 于 Unx系统 , 1 9 okt最 i 在 9 9年 的 时
F n t nHo kn ) u ci o ig 。导入地址 表 ( o I AT) 子通过 进入 钩
候 , e gu d开 发 出 了 针 对 Wid ws系 统 的 Grg Ho ln no R o kt 此 后 , n o okt 术 得 到 了快 速发 o ti, Wid wsRo ti 技
1 2 内核 级 R okt . o ti 的进 程 隐藏技术
行 隐 藏 , 而使入 侵者 进入 被攻 占的系统 后 所 引起 的 从
变化 ( 启 动 了新进 程 、 如 增加 了新 文R okt o ti技术 中的一
种 典型 应用 。 将进 程隐藏起来 , 意味着程 序可 以在不被
Wid ws 基 于交 叉视 图 的 Ro ti进 程 隐 藏 检 测 技 术 no 下 okt
chkrootkit监控原理
chkrootkit监控原理chkrootkit是一种用于监控和检测系统中是否存在rootkit的工具。
rootkit是一种恶意软件,它通过修改操作系统内核或其他系统组件的方式隐藏自身,从而实现对系统的控制和操纵。
chkrootkit通过扫描系统文件和进程,检测系统中是否存在已知的rootkit特征,从而帮助管理员及时发现和排除潜在的安全威胁。
chkrootkit的监控原理主要包括以下几个方面:1. 文件系统扫描:chkrootkit会扫描系统中的文件系统,检测是否存在已知的rootkit文件。
它会比对系统文件的MD5哈希值和预设的安全值进行对比,如果发现差异,则可能存在潜在的rootkit。
此外,chkrootkit还会检查隐藏的文件和目录,因为rootkit通常会将自己隐藏起来,以逃避监测。
2. 进程扫描:chkrootkit会扫描系统中运行的进程,检测是否存在已知的rootkit进程。
它会比对进程的命令行参数和已知的rootkit 特征进行对比,如果发现匹配,则可能存在潜在的rootkit。
此外,chkrootkit还会检查隐藏的进程,因为rootkit通常会通过隐藏进程来实现对系统的操控。
3. 系统配置检查:chkrootkit会检查系统配置文件是否存在已知的rootkit特征。
例如,它会检查SSH配置文件是否被rootkit篡改,因为rootkit通常会通过修改SSH配置文件来实现远程访问权限。
4. 漏洞扫描:chkrootkit会扫描系统中已知的漏洞,并检测是否存在已知的rootkit利用这些漏洞的痕迹。
例如,它会检测系统中是否存在已知的内核漏洞,并检查是否有rootkit利用这些漏洞进行入侵。
5. 日志分析:chkrootkit会分析系统日志,检测是否存在已知的rootkit攻击痕迹。
例如,它会检查系统日志中是否有异常登录记录、异常网络连接等,以判断是否存在rootkit攻击。
总结来说,chkrootkit通过扫描系统文件、进程、配置和日志,检测系统中是否存在已知的rootkit特征,从而帮助管理员发现和排除潜在的安全威胁。
Windows平台下Rootkit进程检测
( ol eo o u r N nigU iesyo ot C l g f mp  ̄ - aj nvri f s e C n t P s&T
。 nig2 00 。 hn ) Naj 10 3 C ia n
t e p a o m a ee tmo to e c r e tRo t th d e r c s d tk sg o fe ti r c c h l t r C d t c s ft u r n o l i d n p o e s a a e o d e c n p a t e. f n h d n i
v lp rnt n r s-ma pn lt r b s i a d etbefrd t t eo satii a dco s y p igpa o m a e Olh n l a l o ee i f d c ngteRo tihd e rc s .Th x ei n n ctsta h okt d npo e s i ee p rme tid ae h t i
中 图分 类号 :P 1 . T 367 文 献标 识码 : A 文章 编号 : 7 - 2X(0 10 - 1 10 1 3 69 21 )7 0 4 —4 6
Ro t i Pr c s t c in u d r W i d wsP a f r o k t o e sDe e t n e n o l to m o
Absr c : o k ti e f r c d r so o a b e t x s s i g o ei b e c mp trs se t a t Ro t i sa s to p o e u e rc det t s a l o e iti a l t rr l l o u e y t m.I r e o o d tc e h d h i n a n a n o rn t ee t h i - d t t d n po es e r c s ,Ro k tmu t U e t c n l g fp o e sh d n .Th o k tp o e sh d n s a k n ftc n l g o m s u d r s t m ot i s s t h o o y o r c s i i g e h e e Ro t r c s i i g i id o h o o y t n e ys i e e
Rootkit病毒的解决办法
Rootkit病毒的解决办法在诸多病毒类型⾥⾯最让⼈深恶痛绝的就是Rootkit(内核型)蠕⾍病毒,许多时候杀毒软件能检测到该病毒,但却⽆法有效清除。
此类病毒的特点是病毒⽂件为两个或多个,⼀个是扩展名为EXE的可执⾏类型⽂件,⼀个是扩展名为SYS的驱动类型⽂件。
EXE可执⾏⽂件为传统的蠕⾍病毒模块,负责病毒的⽣成、感染、传播、破坏等任务;SYS⽂件为Rootkit模块。
Rootkit也是⼀种⽊马,但它较我们常见的“冰河”、“灰鸽⼦”等⽊马更加隐蔽,它以驱动程序的⽅式挂⼊系统内核,然后它负责执⾏建⽴秘密后门、替换系统正常⽂件、进程隐藏、监控⽹络、记录按键序列等功能,部分Rootkit还能关闭杀毒软件。
⽬前发现的此类模块多为病毒提供隐藏的机制,可见这两类⽂件是相互依赖的。
既然病毒已经被隐藏了,我们从何处⼊⼿发现病毒呢?这⾥就以感染orans.sys蠕⾍病毒的计算机为例,探讨如何检测和查杀该类病毒。
检测病毒体⽂件Norton防病毒软件报告c:windowssystem32orans.sys⽂件为Rootkit型病毒,这⾥可以看到使⽤Rootkit代码的SYS⽂件是⽆法逃过杀毒软件检测的。
那么是否删除了该⽂件就能清除病毒呢,答案是不⾏的。
⾸先在染毒的系统下该⽂件是受保护的,⽆法被删除。
即使⽤户在安全模式下删除了⽂件,重新启动后,另外⼀个未被删除的病毒⽂件将随系统启动,并监控系统。
⼀旦其发现系统的注册表被修改或病毒的SYS⽂件遭删除,病毒就会重新⽣成该⽂件并改回注册表,所以很多时候我们会发现病毒⼜重⽣了。
因此需要同时找到这两个⽂件,⼀并处理。
但在受感染的系统中,真正的病毒体已经被Rootkit模块隐藏了,不能被杀毒软件检测到。
这时就需要从系统中的进程找到病毒的蛛丝马迹。
系统⾃带的任务管理器缺少完成这⼀任务的⼀些⾼级功能,不建议使⽤。
这⾥向⼤家推荐IceSword或Process Explorer软件,这两款软件都能观察到系统中的各类进程及进程间的相互关系,还能显⽰进程映像⽂件的路径、命令⾏、系统服务名称等相关信息。
基于Windows系统主机的入侵防御系统设计要点
基于Windows系统主机的入侵防御系统设计0引言计算机和网络通讯技术的不断发展,不仅为人们的日常生活提供了便利,也为社会进步带来巨大影响。
与此同时,缓冲区溢出,蠕虫,木马,rootkit等恶意攻击也严重危害了个人,企业及国家的信息安全,乃至在全球范围内造成不可挽回的损失。
虽然传统的防火墙和入侵检测系统能够提供一定的安全防护,但是,面对入侵手法的多样化和恶意软件隐藏技术的进步,它们也变得无能为力。
因此,基于主机的入侵防御技术吸引了人们越来越多的目光,成为新的安全焦点。
1入侵行为及基于主机的防御技术1.1入侵的一般模式攻击者在锁定攻击目标后,就要进行入侵,这可能通过系统漏洞或者利用主机用户在系统配置上的疏忽进行。
如果攻击者对以系统权限运行的程序进行溢出,则也将获得同等权限。
而对于更一般的攻击而言,在入侵主机后,攻击者还要通过本地溢出等手段进一步提升权限。
在取得对系统的完全控制后,入侵者通常会下载后门,木马,及rootkit等软件,并开展各种恶意活动。
包括窃取用户敏感信息,以受害主机为跳板向网内其它主机发动攻击,或者以受害主机为僵尸主机,传播僵尸病毒,组建僵尸网络等。
随着恶意软件技术的不断发展,一些病毒,木马采用了各种变形技术来躲避杀毒软件的检查。
还有一些恶意软件通过远程线程插入,端口隐藏,文件自删除等手段实现进程,通讯和文件隐藏。
而一些运行于内核空间的rootkit[1]采用DKOM技术对系统内核对象进行破坏,从而绕过防火墙和入侵检测系统。
图1对基于缓冲区溢出的一般入侵模式进行了描述。
1.2基于主机的防御技术通过图1可知,木马,rootkit 等恶意软件会对注册表,文件系统,内核对象等系统资源进行破坏和改变,论文这些行为可归为异常行为。
因此,通过对主机中的各种行为进行截获,分析,并与相应规则进行匹配后,可以判断该行为是否正常,确定系统是否遭受到入侵,从而弥补了传统的入侵检测系统和防火墙的不足。
入侵防御系统在行为检测基础上,还对异常行为进行阻止和截断,为系统提供了进一步的保护。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第三章 Windows 驱动开发 .......................................................................................... 10 3.1 Windows 驱动模型 ........................................................................................... 10 3.2 开发准备 ...........................................................................................................11 3.3 调试设置 .......................................................................................................... 12 3.4 本章小结 .......................................................................................................... 12
本论文着重讨论 Windows 平台下主流的 Rootkit 技术及防御技术,并且最终将 实现一个具有相对完善功能的反 Rootkit 软件 SnowShadow。目前 SnowShadow 的 最新版本是 1.2,综合有进程、文件、注册表进程等数十项功能。本软件大量使用 微软未公开技术,许多技术建立在逆向操作系统内核代码的基础之上,使用本软 件有一定风险。使用本软件可以实现实现手工发现并清除 Rootkit 病毒,进程管理 可以用于结束顽固进程,枚举隐藏进程,文件管理支持文件的暴力删除,隐藏文 件的枚举,文件解锁等功能,用于清除 Rootkit 病毒文件,注册表一项,基于注册 表文件解析的编辑器,支持注册表离线编辑(包括删除,增加修改等功能),由于 不使用任何 API 来操作注册表,可以防止通用注册表保护手段的干扰。
摘要
摘要
Windows 操作系统是目前主流的操作系统,基于这个平台下的各种程序软件层 出不穷,相应的木马病毒也在不断的进步。为了对抗杀毒软件,这些木马病毒企 图霸占电脑主权,更进一步的扩展恶意行为。这些恶意程序往往具备对抗当今主 流杀毒软件的能力,给用户带来了不可估量的损失。
研发探究这些病毒木马的原理及其行为,制作出相应的安全工具来对抗它们, 显得十分必要。然而由于 Windows 操作系统是不开源的,这对研究其内部的原理 增加了一定的难度,制作相应的 Anti-Rootkits 工具也并非易事。但正是由于这些 原因,使得对抗当前流行的病毒木马变得更加具有价值和挑战性。
关键字:Anti-Rootkit 、Rootkit、反病毒、Windows 内核。
I
ABSTRACTAbs源自ractWindows operating system is the current popular operating system. Based on this platform, there are endless variety of software and the corresponding Trojans also continue to progress. To counter the anti-virus software, these Trojans attempt to commandeer the computer's sovereignty, and further expand the malicious behavior. These malicious programs often have the capability of today's major anti-virus software, which gives users an immeasurable loss.
This paper focuses on the mainstream Windows platforms Rootkit technology and defense technology, and will eventually realize a relatively perfect anti-Rootkit software SnowShadow. The latest version of the current SnowShadow is 1.2, integrated with the process, file, registry, process, and dozens of functions. This software will use plenty of technology that Microsoft does not apply and many technologies are based on the operating system kernel code, thus using of this software has some risks. Use of this software can be achieved manually find and remove Rootkit virus, process management can be used for the end of stubborn process, enumerate hidden processes, document management support for the violence to delete the file, hidden file enumeration, file unlock and other functions, used to clear Rootkit virus file, a registry-based analysis of the registry file editor, support for offline editing the registry (including delete, modify etc added), because they do not use any API to manipulate the registry to prevent common registry protection Means of interference.
第二章 Windows 应用层开发 ........................................................................................ 3 2.1 PE 格式及加载重定向 ....................................................................................... 3 2.2 原生 API 的使用................................................................................................ 5 2.3 本软件开发基础 ................................................................................................ 6 2.4 程序界面拟合 .................................................................................................... 9 2.5 本章小结 ............................................................................................................ 9