分類篩選
分類篩選:

關于rootkit檢測系統論文范文資料 與一種基于差異分析的rootkit檢測系統有關論文參考文獻

版權:原創標記原創 主題:rootkit檢測系統范文 科目:畢業論文 2020-01-25

《一種基于差異分析的rootkit檢測系統》:該文是關于rootkit檢測系統論文范文,為你的論文寫作提供相關論文資料參考。

【 摘 要 】 論文介紹了rootkit的常用技術和檢測方法,對傳統的幾種rootkit檢測方法思想進行了分析,設計并實現了一種基于差異分析的rootkit檢測系統,使其對各種主流rootkit技術都能進行檢測,并對未知的rootkit檢測效果良好,檢測結果與現有的惡意代碼檢測系統進行了比較.

【 關鍵詞 】 rootkit;檢測;防護;惡意代碼

【 Abstract 】 It introduced general techniques and detection methods of rootkit, analyzed some traditional methods of rootkit detection, designed and implemented a rootkit detection system based on deference analysis. It can detect main rootkit techniques, and made it more effective on unknown rootkit. In the end, we compare the detection system with some existed rootkit detection systems and find out the system we designed is more effective on rootkit detection.

【 Keywords 】 rootkit detection; deference analysis; malware

1 引言

隨著互聯網深入千家萬戶,網絡應用變得普及而且復雜.國家互聯網應急中心 (CNCERT) 發布的《2013年我國互聯網網絡安全態勢》 指出,“2013年我國境內感染的主機為1135個,僵尸網絡控制的服務器16 萬個”.的“棱鏡門”事件披露了美國對多國政府和民眾進行長期的監聽,引起了國際社會的公眾對的高度關注.在監聽和入侵等工作中,如何獲取操作系統底層的root權限成為攻擊的關鍵性問題.從功能上講,rootkit是攻擊者在目標機上隱藏以及保留root權限的工具.攻擊者大多是通過各種漏洞首先獲得操作系統的訪問權限,再通過系統漏洞提升到管理員權限,也就是root權限.接著,攻擊者在入侵的主機中安裝rootkit,該rootkit隱藏在系統里,以后攻擊者只要訪問該rootkit里的后門即可控制機器.從原理上講,rootkit就是運行在ring0下的驅動程序.由于在內核態下運行,則更難被一些常規方式進行檢測,從而能更好地實現程序的隱藏.Rootkit 惡意代碼最常使用的技術有 IAT 鉤子、IDT鉤子和SSDT鉤子.故而rootkit的檢測比一般用戶層惡意代碼的檢測困難很多,意義也更為重大.

本文首先對rootkit技術進行了分析,其次总结了各種rootkit檢測技術,接著,基于前人設計上存在的不足設計并實現了一套rootkit檢測系統,用該系統檢測樣本rootkit,与其他惡意代碼檢測系統進行比較.

2 Rootkit技術研究

Rootkit常用技術有IAT鉤子、IDT鉤子和SSDT鉤子.

2.1 IAT鉤子

程序運行時加載的 API 函數信息通常都會保存在 PE 文件的導入地址表(Import Address Table,IAT)中.這些信息中主要包括 DLL 名稱、API 函數名稱.Rootkit可能通過注入某些進程,搜索它所關心的API調用地址表,然后利用自己構造的函數HookFunc地址替換掉原函數.HookFunc首先獲得控制權,執行惡意代碼,然后返回原函數地址,使hook過程不被發現.

2.2 IDT鉤子

中斷描述符表(Interrupt Descriptor Table,IDT)是存儲處理中斷和處理器異常的函數地址的數據結構.在Windows中,當用戶模式應用程序調用NtWriteFile時會執行一段特殊代碼,并將處理轉換到內核模式下.轉換的過程是通過將NtWriteFile的內核版本代碼(0xED)移入到EAX寄存器中,然后發出一條INT 2E指令完成的.處理器將會繼續從存儲在IDT的0x2E槽處地址開始執行,應當會指向 KiSystemService.KiSystemService 例程檢查 EAX 中的代碼,然后使用它找到內核NtWriteFIle函數的真實地址.Rootkit可能會重寫IDT中位于0x2E處的項,并且在需要調用內核模式API函數的時刻獲得控制權.

2.3 SSDT鉤子

SSDT(System Service Dispatch Table,系統服務調度表)的作用是使用戶模式下的程序執行系統函數,處于用戶模式下的程序可以通過系統提供的機制借助SSDT查找用戶請求與系統服務的對應關系,進而使得將處于用戶模式下的程序請求遷移到內核模式下進行處理成為可能,這個過程稱為系統服務調度.系統服務調度如圖1所示.

SSDT鉤子就是修改SSDT中指定的系統服務函數的地址,使其指向攻擊者自定義的函數地址.當應用程序請求該系統服務時,將會調用自定義函數,在自定義函數將相關的假信息傳回應用程序,實現對相關資源的隱藏.

3 Rootkit檢測系統設計實現

由于之前的方法大多是對應單種rootkit技術,比如進程隱藏、注冊表隱藏、SSDT鉤子等,而市面上大多数rootkit綜合檢測工具很多運用的是Windows操作系統未公開的細節,而且由于其商業性,技術細節并不公開.本系統是基于差異分析,首先在系統未被感染rootkit之前對系統關鍵部分進行內存轉儲,感染rootkit之后rootkit會修改相關內容,這樣就會產生報警.該方法能很好地對最常用的rootkit技術:IAT鉤子、EAT鉤子、IDT鉤子、SSDT鉤子進行檢測.

rootkit檢測系統論文參考資料:

論文抄襲檢測系統

paperrater論文檢測系統

gocheck論文檢測系統

大學生論文檢測系統

學術不端檢測系統

論文檢測系統

結論:一種基于差異分析的rootkit檢測系統為關于本文可作為rootkit檢測系統方面的大學碩士與本科畢業論文rootkit檢測系統論文開題報告范文和職稱論文論文寫作參考文獻下載。

和你相關的
极速时时彩必中规律 领航pk10计划准吗 甘肃快3今日开奖号码 时时彩技巧 安徽11选5前三走势图 北京赛车pk10开奖网站 安卓手机捕鱼达人1 吉林十一选五 排列五50期走势图 白小中特免费网站1392 重庆时时五码计划两期 iphone 捕鱼大亨修改 河北20选5 乐彩老快3开奖结果 内蒙古快3预测推荐50期 全民福州麻将官方版下载 快乐十分技巧导师讲解