基于文件系统过滤驱动的内核Rootkit隐藏技术
Windows内核级Rootkits隐藏技术的研究
第37卷 第4期2010年4月计算机科学Comp uter Science Vol.37No.4Apr 2010到稿日期:2009205205 返修日期:2009207217 本文受国家自然科学基金(60473057,90604007,90718017)和教育部博士点基金(20070006055)资助。
龚 广(1985-),男,硕士生,主要研究方向为网络与信息安全,E 2mail :higongguang @ ;李舟军(1963-),男,教授,主要研究方向为高可信软件技术、网络与信息安全技术、智能信息处理技术;忽朝俭(1982-),男,博士生,主要研究方向为网络与信息安全;邹蕴珂(1982-),女,硕士生,主要研究方向为网络与信息安全;李智鹏(1985-),男,硕士生,主要研究方向为网络与信息安全。
Windows 内核级Rootkits 隐藏技术的研究龚 广1 李舟军1 忽朝俭1 邹蕴珂1,2 李智鹏1(北京航空航天大学计算机学院 北京100191)1 (海军装备研究院 北京100161)2摘 要 随着Rootkits 技术在信息安全领域越来越受到重视,各种Anti 2rootkits 新技术不断出现。
在各种Anti 2root 2kits 工具的围剿下,常规的Rootkits 隐藏技术难以遁形。
在系统分析和深入研究传统内核级Rootkits 隐藏技术的基础上,提出了一个集驱动模块整体移位、内核线程注入、IRP 深度内联Hook 3种技术为一体的Rootkits 隐藏技术体系。
实验结果显示,基于该隐藏技术体系所实现的Rootkits 能够很好地躲避专业的Anti 2rootkits 工具(如Rootkit Unhooker 和冰刃)的检测,从而充分表明了这种三位一体的Rootkits 隐藏技术体系的有效性。
关键词 Rootkits ,Anti 2rootkits ,驱动模块整体移位,内核线程注入,IRP 深度内联Hook 中图法分类号 TP393 文献标识码 A R esearch on Stealth T echnology of Windows K ernel 2level R ootkitsGON G Guang 1 L I Zhou 2jun 1 HU Chao 2jian 1 ZOU Yun 2ke 1,2 L I Zhi 2peng 1(School of Computer ,Beihang University ,Beijing 100191,China )1(Navy Equipment Academe ,Bejing 100161,China )2Abstract With more and more attention being paid to the Rootkits technology in the fields of cyber 2security ,various new Anti 2rootkits technologies have emerged continually.Under the detection of various Anti 2rootkits tools ,the conven 2tional Rootkits stealth technology is difficulty to play its role.Based on systematic analysis and research of traditional kernel 2level Rootkits stealth technology ,this paper presented a three 2in 2one rootkits stealth technical architecture on the basis of driver module integral transposition ,kernel threads injection and IRP inline Hook in depth.Experimental results show that the Rootkits based on this stealth architecture can well bypass the detection of some well 2known Anti 2root 2kits tools (such as Rootkit Unhooker and IceSword ),which f ully demonstrates the effectiveness of this three 2in 2one Ro 2otkits stealth technical architecture.K eyw ords Rootkits ,Anti 2rootkits ,Driver module integral transposition ,Kernel threads injection ,IRP inline Hook in depth Rootkits 源自Unix 系统,最早出现在1994年2月的一篇安全咨询报告中[1]。
基于Rootkit隐藏行为特征的Linux恶意代码取证方法
doi:10.3969/j.issn.1671-1122.2020.11.005基于Rootkit隐藏行为特征的Linux恶意代码取证方法文伟平,陈夏润,杨法偿(北京大学软件与微电子学院,北京 102600)摘 要:近年来,在互联网不断发展的同时,网络安全问题也层出不穷,而在对抗网络安全威胁时,取证问题一直是个难题。
尤其是针对Linux平台,目前主流的Linux开源取证工具多数存在滞后、效率低、无法对隐蔽性强的木马进行取证等问题。
在Linux取证研究中,Rootkit木马具有隐蔽性强、危害性大的特点,传统检测方法难以进行有效检测。
为解决上述问题,文章从Rootkit的行为和实现技术出发,对其启动机制和内存驻留机制进行研究分析,提炼恶意代码行为作为检测特征,提出一种基于Rootkit隐藏行为特征的Linux恶意代码取证方法。
实验表明,文章提出的取证方法对各类Linux恶意代码具有很好的检出效果和取证效果,相较传统取证方法在检测效果上具有明显优势。
关键词:计算机取证;Rootkit;恶意代码;Linux系统中图分类号:TP309 文献标志码: A 文章编号:1671-1122(2020)11-0032-11中文引用格式:文伟平,陈夏润,杨法偿.基于Rootkit隐藏行为特征的Linux恶意代码取证方法[J].信息网络安全,2020,20(11):32-42.英文引用格式:WEN Weiping, CHEN Xiarun, YANG Fachang. Malicious Code Forensics Method Based on Hidden Behavior Characteristics of Rootkit on Linux[J]. Netinfo Security, 2020, 20(11): 32-42.Malicious Code Forensics Method Based on Hidden BehaviorCharacteristics of Rootkit on LinuxWEN Weiping, CHEN Xiarun, YANG Fachang(School of Software and Microelectronics, Peking University, Beijing 102600, China)Abstract: In recent years, with the continuous development of the Internet, network security problems emerge endlessly. When fighting against network security threats, forensicshas always been a big problem. Especially for Linux platform, most mainstream Linux opensource forensics tools are currently lagging behind, inefficient and unable to obtain evidencefrom the hidden Trojans. In the research of Linux forensics, because the Rootkit Trojan hasthe characteristics of strong concealment and great harm, traditional detection methods aredifficult to carry out effective detection. In order to solve the above problems, starting fromthe behavior and implementation technology of Rootkit, this paper studies and analyzes its收稿日期:2020-7-8基金项目:国家自然科学基金[61872011]作者简介:文伟平(1976—),男,湖南,教授,博士,主要研究方向为系统与网络安全、大数据与云安全、智能计算安全;陈夏润(1997—),男,江西,硕士研究生,主要研究方向为网络与系统安全、漏洞挖掘;杨法偿(1995—),男,河南,硕士研究生,主要研究方向为系统安全、计算机取证。
RootKit文件隐藏技术实现
RootKit文件隐藏技术实现
RootKit文件隐藏技术实现
作者:夜枫
作者机构:无
来源:黑客防线
年:2008
卷:000
期:004
页码:79-82
页数:4
中图分类:TP393.08
正文语种:CHI
关键词:RootKit;隐藏文件;隐藏技术;API函数;win32编程;当前目录;Hook;磁盘驱动
摘要:R00tKit隐藏文件的原理并不复杂,我们知道,win32编程中枚举一个目录下的文件通常是API函数FindFirstFile和FindNextFile两个组合起来,枚举到当前目录下的文件,而这两个APl实际对应的内核Native API是NtQueryDirectoryFile,所以我们只需要在内核Hook这个API函数,并做相应的处理就可以实现文件的隐藏。
当查到我们要隐藏的文件时,就在内核将这个文件剔除掉,所以FindFirstFile和FindNextFile实际得到的是我们已经剔除过的信息了,这样就不会被枚举出来了,也就看不到我们的文件了。
当然,这个方法是过不了反RootKit工具的,例如IceSword用的是直接和磁盘驱动通讯的方法获得到数据,所以R00tKit隐藏对于这类工具是无效的。
rootkit
内核对象是 Windows 系统中用来登记系 统运行情况和资源记录的内核数据结构,由 对象管理器来管理。修改内核数据结构的方 法主要分为两类: 修改活动进程链表(PsActiveProcessList) 修改进程令牌 (Process Token)
在链表 PsActiveProcessList 上保存着所有进程的 EPROCESS 结构,当某些模块需要获得系统中 运行的所有进程信息时,就会通过遍历该双向 链表来获得所要的信息。如果在 PsActiveProcessList 链表上删除相应的某进程信 息,则该进程将被隐藏起来,即使调用系统服 务 ZwQuerySystemInformation()也无法得到该进 程的相关信息。而由于 Windows 的线程分派 器使用另外的数据结构 (pKiDispatchReadyListHead,pKiWaitInListHead,p KiWaitOutListHead),因此,隐藏的进程仍然 能够正常的运行
需要注意,Rootkit 本身并不能使攻击者获 取管理员权限,它不是一种软件利用工具。 攻击者必须先使用其它手段获取主机的控 制权,例如利用漏洞的溢出攻击,或者被 动的密码嗅探等。一般需要取得管理员权 限才能正确部署 Rootkit工具。Rootkit 一般 具备下述功能:
窃取重要信息 通过监控键盘击键以及网络数据,窃取用户口令以及网络银行密码等 隐私信息 维持控制权 攻击者可以通过 Rootkit 隐藏的后门,非常隐蔽的以管理员权限再次进 入系统 隐藏攻击痕迹 隐藏与 Rootkit 相关的文件、进程、通信链接和系统日志等攻击痕迹。 欺骗检测工具 使检测工具无法发现系统的异常,无法找到隐蔽在系统中的 Rootkit 软件。 提供植入手段 其它可执行程序,例如蠕虫或病毒可以通过 Rootkit提供的隐蔽通道 植入系统,并且可以使用 Rootkit 来隐藏自身。 提供攻击跳板 攻击者可以利用受控主机对网络上的其它主机发动攻击,例如蠕虫传 播、拒绝服务攻击等。
Windows系统下Rootkit的隐藏与检测
R tt o k 的攻击过程主要包括 : i ①收集 目标 系统 信息. 攻击者在攻击某个系统之前 , 需要知道 目 标系 统有哪些漏洞 , 使用什么操 作系统 , 哪些 帐号等. 有 ②获得管理员等级的用户 的访问权限. 在得到 目标 系统足够 的信 息 后 , 攻击 者便 开 始 利 用 其 漏 洞发 起 进攻. 比较常见 的是先获得普通用户访问权 限, 然后 再利用 目标系统的本地漏洞提高到超级用户访问权 限. 还有 一种方 式 是直 接 利用 f t tnt 网络 服 p和 e e 等 l 务的漏洞获得超级用户访问权限. ③在 目标操作 系 统上安装 R o i 获得超级用户访问权限后 , ot t k. 攻击者 就可以在 目标系统上安装 R o i 来隐藏攻击行为 , ot t k, 创建各种后 门. ④控制 目 标系统. 目标系统上安装 在 Ro i , ot t 就可以持久的控制 目标系统 , k后 对其进行各
些 服务 等等 .
2 Wi o s oti隐藏技术 n w o t d R k
R ti隐藏 的实 现 过 程 主要 有 : 1 用 户 态 下 ok t ()
的 A I ok 在用户态 , PH . 一种常用的隐藏方法就是修 改P E文件 的 IT I o d rsT b ) 实现 .A A (mp ̄A des al 来 e IT 中记 录 了该 文 件 运 行 时 需 要 调 用 的所 有 函数 链 接 库 . E文件 运行 时会将 自己和 IT中记 录 的链 接库 P A
种攻 击 , 而且不 被 目标 系统 的管 理 员 察 觉 . 如 : 例 利 用 目标 系统 攻 击 其 它 系统 , 目标 系统 拒绝 提 供 某 使
Windows操作系统下内核级Rootkitss隐蔽技术研究
Windows操作系统下内核级Rootkitss隐蔽技术研究
丁亮;谢余强;舒辉
【期刊名称】《计算机工程与设计》
【年(卷),期】2006(27)19
【摘要】Rootkitss的主要作用是在隐藏自身的前提下以管理员的权限来实现对目标主机的控制.随着对内核机制的深入研究,内核级Rootkits的技术也得到了全面、深入的发展,对其的检测变得非常困难.研究内核级Rootkits的发展,深入分析内核级Rootkits自身隐藏、通信隐藏等隐蔽技术的工作原理及其具体的实现方法,结合最新的Rootkits分析现今应用于Rootkits中的新生关键技术,从而总结这些方法的优缺点,从中找到防范Rootkits的有效方法对于维护计算机安全有着重要的意义.【总页数】4页(P3616-3618,3685)
【作者】丁亮;谢余强;舒辉
【作者单位】解放军信息工程大学,信息工程学院计算机科学系,河南,郑州,450002;解放军信息工程大学,信息工程学院计算机科学系,河南,郑州,450002;解放军信息工程大学,信息工程学院计算机科学系,河南,郑州,450002
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.基于Linux驱动级内核访问监控技术研究与实现 [J], 马博;袁丁
2.基于Linux系统调用的内核级Rootkit技术研究 [J], 石晶翔;陈蜀宇;黄晗辉
3.Windows下内核级木马隐藏技术研究 [J], 刘德;甘早斌
4.KVM环境下内核级Rootkit检测及防护技术研究 [J], Liu Gang;Xu Zheng;Cui Shiwei
5.KVM环境下内核级Rootkit检测及防护技术研究 [J], 刘刚; 徐峥; 崔士伟
因版权原因,仅展示原文概要,查看原文内容请购买。
基于文件系统过滤驱动的内核Rootkit隐藏技术
基于文件系统过滤驱动的内核Rootkit隐藏技术
侯春明;刘林
【期刊名称】《吉首大学学报(自然科学版)》
【年(卷),期】2010(031)003
【摘要】Rootkit是能够持久或可靠地、无法检测的存在于计算机上的一组程序和代码.研究了基于文件系统过滤驱动技术的内核Rootkit,阐述了文件系统过滤驱动的工作原理、过滤驱动的实现、基于文件系统过滤驱动的内核Rootkit对文件隐藏的实现,并讨论了针对Rootkit隐藏的检测技术.
【总页数】4页(P43-46)
【作者】侯春明;刘林
【作者单位】吉首大学物理科学与信息工程学院,湖南,吉首,416000;吉首大学物理科学与信息工程学院,湖南,吉首,416000
【正文语种】中文
【中图分类】TP316
【相关文献】
1.Windows内核级Rootkits隐藏技术的研究 [J], 龚广;李舟军;忽朝俭;邹蕴珂;李智鹏
2.基于文件系统异常的内核级Rootkit检测 [J], 刘哲元;戴冠中;王晓伶
3.基于Windows内核过滤驱动的透明加密文件系统的设计 [J], 付存君
4.基于Windows内核过滤驱动的透明加密文件系统的设计 [J], 付存君;
5.WindowsNT内核下文件系统过滤驱动程序开发 [J], 李凡;刘学照;卢安;谢四江
因版权原因,仅展示原文概要,查看原文内容请购买。
Rootkit技术可以隐藏系统进程
Rootkit技术可以隐藏系统进程、系统文件、注册表、网络通信。
虽然Rootkit技术从1994年就开始迅速发展,但是直到2007年,国外的研究人员才开始把基于Windows启动过程的Rootkit检测技术与可信计算结合起来,从根源去解决这种攻击,但是这种检测思想实现难度大、成本高、通用性差,只能达到一个检测的目的,而不能真正的阻止这类Rootkit的运行。
2008年以后国内掀起了研究Rootkit技术的热潮,相继出现了Rootkit技术方面的成功实例。
其中包括:奇虎360公司的首席安全研究员李文彬于2008年6月提出了一种基于Boot.ini 的Rootkit-Tophet,并在其Blog中发表的一篇名为《 A new invisible Bootkit is on the way》的文章中进行了详细的描述,该Bootkit 技术能够绕过当前所有的防御软件。
在BIOS Rootkit的研究方面,国内起步较晚,相对成型的实例没有国外多。
国内目前在基于Windows 启动过程的Rootkit检测技术研究方面处于很初级的探索阶段,暂时还没有成型且可靠性高的检测技术出现,尤其在BIOS Rootkit的检测技术方面处于一个相对进展缓慢的状态。
国内还出现了通过TPM芯片去实现基于Windows启动过程的Rootkit的检测,这种检测方法的思想主要利用了可信计算的相关理论,能够检测出系统是否存在这类Rootkit,并且可以有效阻止Bootkit的运行,但是在BIOS Rootkit 的查杀方面可靠性不高,不能恢复操作系统的正常运行。
因此研究有效的并且可靠的检测和防御方法,对信启、安全技术的发展会起到很大的促进作用。
目前大部分的Anti Rootkit技术的实现都是使用了下列几种方法:Cross View(交叉检测技术)、基于行为的Rootkit检测技术和完整性校验技术。
而如今,Rootkit越来越向硬件层次渗透,试图在Windows系统启动之前就获得对系统的控制权,这样Rootkit 技术就不会检测到了。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第31卷第3期吉首大学学报(自然科学版)Vol.31No .32010年5月Journ al of Ji shou Universit y (Nat ural Science Edit ion)May 2010文章编号:10072985(2010)03004304基于文件系统过滤驱动的内核Rootkit 隐藏技术*侯春明,刘林(吉首大学物理科学与信息工程学院,湖南吉首416000)摘要:Rootkit 是能够持久或可靠地、无法检测的存在于计算机上的一组程序和代码.研究了基于文件系统过滤驱动技术的内核Rootkit,阐述了文件系统过滤驱动的工作原理、过滤驱动的实现、基于文件系统过滤驱动的内核Rootkit 对文件隐藏的实现,并讨论了针对Root kit 隐藏的检测技术.关键词:文件系统;Rootkit;过滤驱动;隐藏中图分类号:T P316文献标志码:A随着信息技术的飞速发展,以窃取计算机控制权和敏感信息为目标的程序迅速增加.Rootkit 是能够持久或可靠地、无法检测的存在于计算机上的一组程序和代码[1].Rootkit 能在目标计算机中长期潜伏,窃取信息而不被察觉,因此在计算机战争、间谍、反计算机犯罪、证据收集等领域得到广泛应用,同时也被计算机病毒、木马、恶意软件等恶意代码使用者用来实现计算机的恶意控制.控制者一旦获得操作系统的控制权限,种植了Rootkit,它就能维护一个后门,允许控制者一直以管理员权限控制系统,并且通过隐藏文件、进程、注册表项、端口等来隐藏攻击行为,从而逃避用户和安全软件的检测[2].隐蔽性是Rootkit 的最大特性,而文件系统是Rootkit 应用的重要领域.许多Rootkit 需要在文件系统中存储文件,并且要求这些文件实现隐藏.Rootkit 的文件隐藏技术有2种:利用钩子技术实现文件隐藏,这种方法效率低;利用文件系统过滤驱动技术,效率高,可靠性强.利用文件系统过滤驱动技术来实现Ro otkit 的文件隐藏,成为当前Windows 操作系统内核信息安全领域的热点.1文件系统过滤驱动工作原理1.1Windo ws 文件系统驱动文件系统驱动程序是存储管理子系统的一个组件,为用户提供在持久性介质上存储和读取信息的功能,可以创建、修改和删除文件,同时可以安全可控地在用户之间共享和传输信息,并以适当的方式向应用程序提供结构化的文件内容[3].用户应用程序对磁盘上的文件进行的各种操作,如创建、打开、关闭、读数据、写操作等,最终都要借助文件系统驱动才能完成.各种操作调用Kernel32.dll,通过Win32子系统调用Native A PI 向内核层传送请求,然后通过系统服务函数将上层的请求传递给I/O 管理器,在I/O 管理器中,将对磁盘文件的各种操作请求都统一为输入输出请求包IRP,然后向下层传送IRP 给文件系统驱动,最终由文件系统驱动调用磁盘及其他存储设备驱动,进而完成对物理存储设备的各种操作.操作完成后,再将处理结果沿着相反路径返回,整体执行过程如图1所示.*收稿日期:20100425基金项目吉首大学校级科研课题(D 5)作者简介侯春明(),男,湖南桑植人,吉首大学物理科学与信息工程学院讲师,硕士,主要从事计算机应用与信息安全研究:09J 01:1979.图1文件系统过滤驱动原理1.2Windo ws 文件系统过滤驱动Windows NT 操作系统的内核驱动模型WDM(Windows Driver Model)采用了分层结构的驱动程序结构[4].I/O 管理器实现1个分层的数据结构,在DEVICE_OBJECT 对象中保存某种关系,自动将请求IRP 发给设备栈中的最高的1个设备,由其决定如何处理,或是自身处理,或是向下传递,从而实现分层.在WDM 模型中,过滤驱动程序可以在应用程序读写数据的过程中,先于操作系统本身的文件系统驱动截获数据处理相关的IRP,进而进行各种相应的操作,比如隐藏文件、修改数据等.从图1可以看出,文件系统过滤驱动位于I/O 管理器和文件系统驱动程序之间.2基于文件系统过滤驱动的Rootkit隐藏技术2.1文件系统过滤驱动的实现基于文件系统过滤驱动的Rootkit 本质上就是驱动程序,在将自身载入内核的同时,完成特定的功能.在Windows 操作系统中,对于应用最广泛的FA T32和N TFS 文件系统,主要生成2类设备,一类是文件系统驱动本身生成的控制设备CDO,另外一类是该文件系统的卷设备.驱动程序和应用层程序类似,有1个主函数Dr iverEntry,是Windows 驱动程序的入口函数.DriverEntry 函数由内核中I/O 管理器负责调用.Driver Entry 的第1个参数是1个指针,指向1个刚被初始化的驱动程序对象,该对象就代表对应的驱动程序,WDM 驱动程序的DriverEntry 例程应完成对这个对象的初始化并返回,其主要工作是把各种函数指针填入驱动程序对象.这些指针为操作系统指明了驱动程序容器中各种子例程的位置[5].针对文件系统过滤驱动的实现,在DriverEntr y 函数中生成1个控制设备,设置分发函数和快速I/O 分发函数和回调函数,再对文件系统的卷设备进行绑定.在DriverEntr y 中调用内核函数IoCr eateDevice 生成文件系统控制设备CDO,这是文件系统过滤驱动和应用层程序的通信的主要接口.基于文件系统过滤驱动的Rootkit 主要利用这个CDO 修改驱动程序的内部配置以及实现挂载和通信.CDO 生成后,需要在DriverEntr y 中针对来自上层驱动的IRP 设置分发函数和快速I/O 分发函数,然后对Rootkit 所要监控的文件系统的卷设备进行绑定操作.首先利用内核函数SfAttachDeviceToDeviceStack 函数绑定文件系统控制设备,绑定后,Rootkit 可以获得发送给文件系统控制设备的文件控制请求,之后针对文件系统卷设备进行绑定.在文件系统的底层,采用物理设备对象VPB 来表示卷控制块VCB 和物理磁盘Device Object 的联系(VPB 是一个重要数据结构,用来将实际存储媒介设备对象和文件系统上的卷设备对象联系起来).文件系统过滤驱动程序从IRP 中获取VPB 的指针,进而获取文件系统的卷设备,然后调用SfAttachToMountedDevice 完成卷设备的绑定.文件系统过滤驱动的绑定完成后,基于文件系统过滤驱动的Rootkit 被载入到内核的驱动程序设备链中,可以针对各种操作进行过滤.2.2Rootkit 隐藏技术的实现Windows 操作系统中,磁盘等存储设备的每一个分区都被抽象成驱动程序中的设备对象(即卷设备).卷设备是由卷管理器生成,而不是文件系统生成,当1个卷使用某种文件系统时,该文件系统会对应的为该设备生成个设备对象,称为文件系统的卷设备W 操作系统中对文件的各种操作就是通过向这些设备发送IR 来完成基于文件系统过滤驱动的R ,首先创建驱动程序,在驱动上生成设备对象,然后去绑定这些卷设备,从而实现文件系统过滤驱动程序,发送给卷设备的IR ,在到达文件系统之44吉首大学学报(自然科学版)第31卷1.indows P .ootkit P前,被过滤驱动进行过滤,在过滤驱动对应的例程中实现文件的隐藏.(1)Rootkit 首先创建文件系统过滤驱动程序,在完成对卷设备的绑定后,使用内核函数IoSetCom pletionRoutine 为IRP 设置完成例程,以便在下层的文件系统驱动完成IRP 的时候,对返回的结果进行修改,进而把想要的文件隐藏起来.(2)通过内核函数IoCallDr iver 沿着驱动程序链向下传递IRP,针对文件操作的每个请求最终由通过文件系统驱动完成处理.在IRP 到达文件系统驱动之后,对应的操作处理完毕,IRP 返回.在过滤驱动中对应的完成例程的处理中隐藏文件.(3)在IRP 返回时执行的完成例程中可以实现对特定文件实现隐藏.当用户在操作系统应用层查看文件时,每个文件返回1个FILE_BOTH _DIR_INFORMATION 的结构,该结构用来描述指定目录的详细信息[6].用户打开的目录中所有文件返回信息形成1个FILE_BOT H _DIR_INFORMA TION 的结构的链表,只要遍历这样的链表,就可以获取当前目录下的所有文件信息,进而显示到用户层供用户查看.只要从链表中删除指定文件对应的节点,指定的文件就会被隐藏.使用链表操作中对指定节点进行删除的算法,删除指定文件对应的节点,则可以实现文件的隐藏.2.3用户层与内核层的通信如果需要指定特定路径下特定文件名的文件被隐藏,可以使用DeviceControl 实现用户层程序与内核层Rootkit 驱动程序之间的通信.利用工作在用户层的程序,输入需要隐藏的文件和对应的目录路径,用在DeviceControl 中定义的IOCT L 控制码进行传递,到达文件系统过滤驱动程序,驱动中自行创建的IRP 处理例程检测到对应的路径中的文件名后,相关文件名信息可以传递给IRP 的派遣函数,用来在派遣函数中实现指定文件的隐藏.3Rootkit 的检测与防范Rootkit 技术是一种中立技术,在恶意软件和安全软件中都大量使用,从而导致内核级Rootkit 的检测变得非常重要.因此,Rootkit 的检测技术也是Window 操作系统内核信息安全领域的研究热点,Root kit 的检测技术较多,针对Rootkit 隐藏相关的检测技术如下:(1)隐藏进程检测.文件和进程的隐藏是内核Rootkit 的常见功能,大多数内核Rootkit 都通过各种手段达到进程隐藏的目的.检测进程隐藏的方法中最常见的是挂钩SwapContext 方法:ntoskrnl.exe 中存在一个SwapContext 函数,用于将当前运行线程的上下文与重新执行线程的上下文进行交换,在每次线程切换的时候执行.因此,挂钩这个函数可以得到每次线程切换时换出、换入线程的信息,通过收集所有的线程信息,可以进一步得到所有进程的列表.(2)隐藏文件的检测.针对基于文件系统过滤驱动的Rootkit 的文件隐藏,可以利用直接读取磁盘扇区来分析文件系统进行隐藏文件的检测,或者向建立在卷设备驱动上的文件系统驱动程序发送IRP.首先,利用ObReferenceObjectByName 获取文件系统驱动程序的driver object,然后根据用户层指定的检测路径用DeviceControl 代码传递给Rootkit 隐藏文件检测驱动程序,用Cr eateFile 函数打开对应的文件夹路径,获取对应文件夹路径的句柄,利用内核函数ObReferenceObjectByName 可以根据对应的文件夹路径的句柄获取文件对象.获取文件对象后,创建IRP,向对应的文件系统驱动程序发送IRP,在返回的信息中检测所有的文件信息,进而获取被隐藏文件.4结论文件系统过滤驱动技术是近年来操作系统内核信息安全领域研究热点,过滤驱动附着在文件系统上,通过截获文件系统发出的I/O 请求包来对文件系统进行各种控制操作.内核Rootkit 是一种基于Win dows 内核层的中立技术,它既可以为善意的安全软件、监控软件、取证软件等服务,也可能被病毒、木马等恶意攻击所利用笔者介绍了W 操作系统的文件系统过滤驱动工作原理、基于文件系统过滤驱动的R 实现文件隐藏的关键技术以及R 的检测方法利用文件系统过滤驱动技术和R 隐藏技术,可以提高安全软件的技术性能,并有效地防止其被恶意利用,对W 操作系统内核信息安全45第3期侯春明,等:基于文件系统过滤驱动的内核rootkit 隐藏技术.indows ootkit ootkit .ootkit indows46吉首大学学报(自然科学版)第31卷技术应用有广泛的参考意义.参考文献:[1]GR EG H OGLUND,JAMES BUT LER.Rootkit:Windows内核的安全防护[M].北京:清华大学出版社,2007.[2]杨平,罗红,乔向东.Windows R ootkit隐藏技术研究[J].计算机与信息技术,2009(3):7374.[3]NAGAR R.Windows NT File System Internals[EB/OL].[20070401].htt p:///source/168266.[4]张帆,史彩成.Windows驱动开发技术详解[M].北京:电子工业出版社,2008.[5]WALTER ONEY.Progr amming the Micr osoft Windows Dr iver Mode[EB/OL].[20080215].http://download.cs/sour ce/353955.Research on Occultation Techniques of Kernel Rootkit Based onFile System Filter DriverH OU Chun ming,LIU Lin(College of Physics Science and Infor mation Engineer ing,Jishou University,Jishou416000,H unan China)Abstr act:A Rootkit is a set of programs and code that allows a permanent or consistent,undetectable presence on a computer.Windows ker nel Rootkit based on file system filter driver has been resear ched. The work principle of file system filter driver and the realization of filter driver and occultation tech niques of kernel Rootkit based on file system filter driver have been introduced.T he techniques of Root kit detection have been discussed.Key words:file system;Rootkit;filter driver;occultation(责任编辑陈炳权) (上接第28页)Maximum Norm Superapproximation of the Triquadratic Block Finite Element S olution to the Three Dimension Problem with Variable CoefficientsDENG Yi jun(Depar tment of Mathemat ics,H unan Inter nat ional Econom ics College,Changsha410205,China)Abstr act:For an variable coefficients elliptic equation in3D,weak estimates for the block finite element over rectangular parallelepiped partitions of the domain are obtained by using three dimensional interpo lation operator of projection type and interpolating approximation proper ties.Fur thermore,in combina tion with three dimensional discrete Green functions,the author derives the maximum norm superapprox imation r esults with high accuracy of the displacement and gr adient for block finite elements.Key words:variable coefficients elliptic equation;block finite element;interpolation operator of projection type;discr ete Green funtions;superapproximation(责任编辑向阳洁)。